locsec/Ukraine-Cyber-Operations
1
Форкнуть 0
Код Задачи Запросы на слияние Действия Пакеты Проекты Релизы Вики Активность

Create HermeticWiper_Code_273622_10001.yar

Просмотр исходного кода
Этот коммит содержится в:
BushidoToken 2022-03-03 13:14:57 +00:00 коммит произвёл GitHub
родитель 84080c02d7
Коммит b1f2b13c1b
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 4AEE18F83AFDEB23
1 изменённых файлов: 23 добавлений и 0 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

23
yara/HermeticWiper_Code_273622_10001.yar Обычный файл
Просмотреть файл

@ -0,0 +1,23 @@
rule HermeticWiper_Code_273622_10001 {
meta:
description = "Detects HermeticWiper variants by blocks of common code"
author = "Cluster25"
date = "23/02/2022"
tlp = "white"
hash1 = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
hash2 = "0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da"
strings:
$block1 = { C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 D2 6A ?? 68 ?? ?? ?? ?? 8D 47 ?? F7 F6 8B CA 33 D2 8B C1 F7 F6 8B F2 33 D2 8B C6 C1 E0 ?? 03 C1 F7 75 ?? 0F B7 44 55 ?? 33 D2 66 89 03 8D 04 39 B9 ?? ?? ?? ?? F7 F1 8B CA 33 D2 8D 04 0E BE ?? ?? ?? ?? F7 F6 C1 E2 ?? 8D 04 11 33 D2 B9 ?? ?? ?? ?? F7 F1 8D 4B ?? 51 0F B7 44 55 ?? 66 89 01 FF 15 ?? ?? ?? ?? 33 C0 66 89 43 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? }
$block2 = { 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? C7 84 C4 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 C4 ?? ?? ?? ?? ?? ?? ?? ?? 8D 43 ?? 50 8D 44 24 ?? 50 6A ?? FF D6 8D 43 ?? 50 68 ?? ?? ?? ?? 6A ?? FF D6 6A ?? 6A ?? 6A ?? 53 C7 03 ?? ?? ?? ?? 6A ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF D7 85 C0 75 ?? }
$block3 = { 8B 45 ?? 0F 57 C0 89 45 ?? 33 C9 8B 85 ?? ?? ?? ?? 0B 8D ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 7D ?? 8B 7D ?? 66 0F 13 45 ?? F3 0F 7E 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 57 89 4D ?? 89 45 ?? 66 0F D6 07 FF 15 ?? ?? ?? ?? 33 C9 51 51 6A ?? 51 6A ?? 68 ?? ?? ?? ?? 57 66 89 48 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? }
$block4 = { 0F B7 46 ?? 0F B6 5E ?? 0F AF D8 53 50 FF 74 24 ?? FF 74 24 ?? 6A ?? 53 FF 76 ?? FF 76 ?? E8 ?? ?? ?? ?? 03 45 ?? 8B 4D ?? 13 D7 52 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B CE 0F B7 41 ?? 53 50 6A ?? 53 6A ?? 53 FF 71 ?? FF 71 ?? E8 ?? ?? ?? ?? 03 45 ?? 8B 4D ?? 13 D7 52 8B 55 ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2 ?? ?? }
$block5 = { 6A ?? 57 53 E8 ?? ?? ?? ?? 8A 56 ?? 83 C4 ?? 0F B7 46 ?? 8B 76 ?? 0F B6 CA 0F AF C8 89 43 ?? 0F B6 C2 99 52 89 4D ?? 89 4B ?? 8B 4D ?? 50 89 73 ?? 8B 49 ?? 51 56 89 4B ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 43 ?? 89 53 ?? 8B 46 ?? 89 43 ?? 8B 46 ?? 89 43 ?? 8B 46 ?? 89 43 ?? 8B 46 ?? 89 43 ?? 8B 46 ?? 89 03 8B 46 ?? 89 43 ?? 8A 46 ?? 84 C0 7E ?? }
$block6 = { 8D 44 24 ?? 0F 57 C0 50 66 0F 13 44 24 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 33 C9 0B 4C 24 ?? 83 C0 ?? 89 44 24 ?? 8B 38 FF 77 ?? 8B 57 ?? 8B 47 ?? 52 89 44 24 ?? 8B 44 24 ?? 50 51 E8 ?? ?? ?? ?? 53 8B CA 89 44 24 ?? 56 51 50 FF 77 ?? 8D 57 ?? 89 4C 24 ?? 8B 7F ?? 89 54 24 ?? 8D 54 24 ?? 8B 4C 24 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? }
$block7 = { 8B 5C 24 ?? 8B CE 8B 7C 24 ?? 8B C3 0F AF C7 2B 4C 24 ?? 50 8B 44 24 ?? 1B 44 24 ?? 53 6A ?? 53 50 51 E8 ?? ?? ?? ?? 6A ?? 57 52 50 E8 ?? ?? ?? ?? 52 50 FF 74 24 ?? 8B C3 FF 74 24 ?? F7 E7 52 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 03 41 ?? 13 51 ?? 8B 4D ?? 52 8B 54 24 ?? 50 E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B C6 8B 74 24 ?? 83 C4 ?? EB ?? }
$block8 = { C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B D9 8B 75 ?? 0F AC F3 ?? 89 5D ?? C1 EE ?? 89 75 ?? 89 5D ?? 89 75 ?? 33 DB 03 D1 13 5D ?? 83 C2 ?? 89 55 ?? 83 D3 ?? 89 5D ?? 8B F2 8B C3 0F AC C6 ?? 89 75 ?? C1 E8 ?? 89 45 ?? 83 E1 ?? BE ?? ?? ?? ?? 2B F1 B9 ?? ?? ?? ?? 1B C9 8B DA 83 E3 ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? }
$block9 = { 8B 45 ?? 8B 4D ?? 8B 5D ?? 50 FF 75 ?? 89 48 ?? 8B 4D ?? 89 48 ?? 8B 4D ?? 89 70 ?? 89 78 ?? 89 58 ?? 89 48 ?? FF 55 ?? 8B 55 ?? 0F B6 0A 8B C1 83 E1 ?? C1 E8 ?? 03 CA 8D 50 ?? 8A 24 0A 03 D1 88 65 ?? 03 DE 89 55 ?? 8A C4 89 5D ?? 11 7D ?? 88 45 ?? 84 E4 0F 85 ?? ?? ?? ?? }
$block10 = { 8D 44 24 ?? BA ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 44 24 ?? 8B 74 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 2B CE 33 F6 2B C7 69 7C 24 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 2B F8 1B F2 85 F6 7F ?? }
$block11 = { 8D 45 ?? 0F 57 C0 50 66 0F D6 45 ?? FF 15 ?? ?? ?? ?? 8B 5E ?? 8D 45 ?? 8B 7E ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? }
condition:
(uint16(0) == 0x5A4D and 1 of ($block*))
}