ELF 맬웨어의 정적 분석을위한 YARA 규칙을 사용하여 F.L.I.R.T 서명을 만드는 방법 -JPCERT/CC EYES |JPCert 조정 센터 공식 블로그 관련 IOC 8개 발견
ELF 맬웨어는 빌드 중에 심볼 정보를 제거하는 것으로 관찰되어 각 기능 이름을 식별하기 어려워졌습니다. Yara 규칙을 사용하여 기능 이름을 식별하는 방법과 IDA 스크립트인 "Autoyara4flirt"를 사용하는 방법이 있습니다.
JpCERT
How to Create F.L.I.R.T Signature Using Yara Rules for Static Analysis of ELF Malware - JPCERT/CC Eyes | JPCERT Coordination Center official Blog
ELF malware is observed by removing symbol information during builds, making it difficult to identify each functional name.There is a way to identify the functional name using the YARA rules and to use the IDA script “Autoyara4Flirt”.
https://blogs.jpcert.or.jp/en/2023/06/autoyara4flirt.html