Lesson 9.pptx

# YARA en regelconstructie Dit onderwerp introduceert YARA, een krachtig instrument voor het identificeren van bestanden en netwerkverkeer op basis van gedefinieerde patronen, en behandelt de fundamentele opbouw en best practices voor het creëren van effectieve YARA-regels. ### 1.1 Overzicht van YARA YARA is een tool die in 2007 is geïntroduceerd en gebruikt wordt voor het identificeren van bestanden en netwerkverkeer op basis van specifieke patronen. Het acroniem YARA staat voor "Yet Another Recursive Acronym". Het kan worden beschouwd als een geavanceerde versie van `grep` voor signature-gebaseerde detectie, een techniek die al langer bekend is binnen de antiviruswereld. Een YARA-regel bestaat uit een set van gedefinieerde *strings* en *condities* die de detectielogica bepalen. De drie kerncomponenten van een YARA-regel zijn: * **Meta-informatie**: Beschrijvende informatie over de regel. * **Strings**: De patronen die gezocht moeten worden. * **Condities**: De logische regels die bepalen wanneer de regel matcht. ### 1.2 YARA - Regelnaamgeving en Meta-informatie Effectieve regelnaamgeving en gestructureerde meta-informatie zijn cruciaal voor het beheer en onderhoud van YARA-regels. #### 1.2.1 Best Practices voor Meta-informatie De `meta`-sectie van een YARA-regel moet zo veel mogelijk context bieden. Aanbevolen velden zijn: * **Author**: Naam, e-mailadres of Twitter-handle van de maker. * **CreationDate**: Datum waarop de regel is aangemaakt. * **ModifyDate**: Datum waarop de regel voor het laatst is bijgewerkt. * **Version**: Het versienummer van de YARA-regel om wijzigingen te kunnen volgen. * **Reference**: Een link naar een artikel, download van een sample, of andere relevante informatie over het malware-sample waarvoor de regel is ontworpen. * **Description**: Een korte beschrijving van het doel van de regel en de malware die het beoogt te detecteren. * **Hash**: Een lijst van de hashes van de samples die gebruikt zijn bij het creëren van de regel. * **TlpCode**: Specificeert de toegestane deelmodaliteit van de regel (bv. TLP:WHITE). ### 1.3 YARA - Strings Strings zijn de fundamentele bouwstenen voor het identificeren van patronen binnen bestanden of netwerkverkeer. #### 1.3.1 Definitie en Modifiers Strings worden gedefinieerd met een naam gevolgd door de string zelf. Modifiers kunnen worden toegevoegd om de zoekopties te verfijnen: * `fullword`: Vereist een exacte woordmatch. * `wide`: Zoekt naar zowel ASCII- als Unicode-varianten, inclusief null-bytes. * `wide_ascii`: Zoekt naar zowel Unicode- als ASCII-varianten. * `nocase`: Negeert hoofdlettergevoeligheid tijdens de match. > **Tip:** Gebruik `nocase` spaarzaam. Als functies bijvoorbeeld "CamelCase" of "PascalCase" gebruiken, is `nocase` vaak onnodig en kan het de prestaties beïnvloeden. Optimaliseer de code waar mogelijk. #### 1.3.2 Best Practices voor Strings Strings zijn uitstekende identificatieobjecten. Overweeg de volgende elementen voor opname: * **Mutexes**: Uniek voor specifieke malware-families. Controleert of een apparaat al is geïnfecteerd door de aanwezigheid van een mutex te controleren. * **Zeldzame en ongebruikelijke user agents**: Kan duiden op kwaadaardige communicatie. * **C2-communicatie**: Patronen gerelateerd aan Command and Control servers. * **Registry keys**: Specifieke registersleutels die door malware worden gebruikt. * **Persistence mechanismen**: Patronen die duiden op methoden om persistentie te verkrijgen. * **PDB paths**: Padnamen die gebruikt worden tijdens het debuggen, vaak te vinden in malware. * **Debugging informatie**: Algemene debugging gerelateerde strings. * **Encrypted config strings**: Bevatten vaak nuttige Indicators of Compromise (IOCs) zoals IP-adressen en domeinen. * **Specifieke commentaren, variabelen, typografische fouten of grammaticale fouten**: Kunnen unieke identificatiemogelijkheden bieden. De "Pyramid of Pain" kan hierbij als leidraad dienen, waarbij lager gelegen indicatoren (zoals hashes) makkelijker te wijzigen zijn dan hoger gelegen indicatoren (zoals tactieken, technieken en procedures). #### 1.3.3 Hex Strings Naast tekstuele strings, ondersteunt YARA ook hexadecimale strings. Deze zijn nuttig voor het detecteren van binaire patronen. * **Basis Hex String**: Een reeks hexadecimale waarden. * Voorbeeld: `$a = {74 6f 70 20 73 65 63 72 65 74}` (komt overeen met "top secret" in ASCII). * **Wildcards**: Vraagtekens (`?`) kunnen worden gebruikt als wildcards voor individuele bytes. * Voorbeeld: `$a = { 74 ?? ?? 20 73 65 63 72 65 74 }` detecteert een patroon met twee willekeurige bytes ertussen. * **Byte Ranges**: Vierkante haken `[min-max]` specificeren een bereik van willekeurige bytes. * Voorbeeld: `$a = { 74 [2-10] 6f 70 20 73 65 63 72 65 74 }` zoekt naar de byte '74', gevolgd door 2 tot 10 willekeurige bytes, en dan de rest van de string. * **Alternatieven**: Gebruik de pipe `|` om alternatieve reeksen bytes aan te geven. * Voorbeeld: `$a = { 74 (01 02 | 03 04) 6f 70 20 73 65 63 72 65 74 }` matcht wanneer na de '74' OF de sequentie '01 02' OF de sequentie '03 04' volgt, waarna de rest van de string wordt gezocht. Dit resulteert in twee mogelijke matches: * `74 01 02 6f 70 20 73 65 63 72 65 74` * `74 03 04 6f 70 20 73 65 63 72 65 74` ### 1.4 YARA - Condities Condities definiëren de logica die bepaalt of een regel matcht. Ze kwantificeren de voorwaarden waaraan voldaan moet worden. #### 1.4.1 Algemene Conditie Constructies * **Counting**: Specificeert het aantal benodigde matches uit een set strings. * `3 of ($a, $b, $c, $d)`: Ten minste 3 van de gedefinieerde strings ($a, $b, $c, $d) moeten matchen. * `3 of ($a*)`: Ten minste 3 van alle strings die beginnen met "a" (bv. $a1, $a2) moeten matchen. * **Boolean Logic**: Gebruikt `and`, `or`, `not` om condities te combineren. * `$a and not $b`: String $a moet matchen en string $b mag niet matchen. #### 1.4.2 Voorbeelden van Condities Condities kunnen ook gebruik maken van ingebouwde functies en specifieke offsets: * **Bestandsheaders**: Controleer de magic bytes van bestanden. * `uint16(0) == 0x5A4D`: Controleert of de eerste 16 bits van het bestand overeenkomen met de MZ-header, wat duidt op een Windows EXE-bestand. * `uint32(0) == 0x464c457f) or (uint32(0) == 0xfeedfacf) or (uint32(0) == 0xcffaedfe) or (uint32(0) == 0xfeedface) or (uint32(0) == 0xcefaedfe)`: Controleert verschillende magic bytes die kunnen duiden op Linux-binaries (ELF-headers). * `uint16be(0x00) == 0xFFD8`: Controleert de Big-Endian 16-bit header die duidt op een JPEG-bestand. * **Reguliere expressies**: Gebruik reguliere expressies voor complexe patroonherkenning. * `$vbe = /#@~\^.+\^#~@/`: Definieert een regex-string genaamd `$vbe` die een VBE-bestand binnen een byte-sequentie detecteert. * **String Count**: Controleert het aantal keren dat een string voorkomt. * `#a == 6`: Controleert of de string `$a` exact 6 keer voorkomt in het bestand. > **Tip:** De juiste combinatie van strings en condities is cruciaal voor het creëren van YARA-regels die zowel efficiënt als nauwkeurig zijn. Test regels grondig met diverse samples. --- # Cyberdreigingsinformatieplatforms en -tools Dit gedeelte behandelt de diverse online platforms en tools die gebruikt worden voor het verzamelen, analyseren en delen van cyberdreigingsinformatie, inclusief scanners, zoekmachines voor internetdekking, IP-databases, analyseplatforms voor malware en URL's, en tools voor het monitoren van ransomware en spam. ## 2. Cyberdreigingsinformatieplatforms en -tools Cyberdreigingsinformatieplatforms en -tools vormen de ruggengraat van moderne cyberbeveiligingsoperaties. Ze bieden beveiligingsanalisten, incident response teams en threat hunters de nodige middelen om bedreigingen te detecteren, te analyseren en erop te reageren. Deze tools variëren van signature-gebaseerde detectiesystemen tot uitgebreide internetbrede scan- en analyseplatforms. ### 2.1 YARA YARA is een krachtig en flexibel hulpmiddel dat wordt gebruikt voor het identificeren van bestanden en netwerkverkeer op basis van tekstuele of binaire patronen. Het werd geïntroduceerd in 2007 en staat voor "Yet Another Recursive Acronym". YARA wordt vaak beschreven als "grep on steroids", wat de kracht ervan benadrukt in het zoeken naar specifieke patronen binnen grote hoeveelheden data. #### 2.1.1 YARA-regels Een YARA-regel is de kerncomponent van de tool. Deze bestaat uit een set *strings* (patronen) en *condities* die de logica van de regel bepalen. Een regel definieert wanneer een bestand of stuk data als malafide moet worden beschouwd. #### 2.1.2 Componenten van een YARA-regel * **Meta-informatie:** Biedt context en beschrijvende informatie over de regel. Goede meta-informatie is cruciaal voor het begrijpen en onderhouden van regels. Best practices omvatten: * `Author`: Naam, e-mailadres, Twitter-handle van de auteur. * `CreationDate`: Datum waarop de regel is aangemaakt. * `ModifyDate`: Datum waarop de regel is bijgewerkt. * `Version`: Versienummer van de YARA-regel voor het bijhouden van wijzigingen. * `Reference`: Een link naar een artikel of download van het malwaresample waarop de regel is gebaseerd. * `Description`: Een korte beschrijving van het doel van de regel en de malware die het beoogt te detecteren. * `Hash`: Een lijst van sample hashes die zijn gebruikt om de YARA-regel te creëren. * `TlpCode`: Specificeert de deelmogelijkheden van de regel (bijvoorbeeld TLP:WHITE, TLP:AMBER). * **Strings:** Dit zijn de daadwerkelijke patronen die YARA zoekt. Ze kunnen tekstueel of hexadecimaal zijn en verschillende modifiers hebben om de zoekopties te verfijnen. * **Modifiers:** * `fullword`: Zoekt naar het exacte woord. * `wide`: Inclusief Unicode-bytes met null bytes. * `wide ascii`: Inclusief Unicode- en ASCII-bytes. * `nocase`: Zoekt ongeacht hoofdlettergebruik. * **Best Practices voor Strings:** Strings zijn krachtige identificatie-objecten. Nuttige elementen om naar te zoeken zijn: * Mutexes: Vaak uniek voor malwarefamilies, geven aan of een systeem al geïnfecteerd is. * Zeldzame of ongebruikelijke user agents: Gebruikt in C2-communicatie. * Registry keys: Indicatoren voor persistentie. * PDB-paden: Debugging-informatie. * Geëncrypteerde configuratiestrings: Kunnen nuttige IOC's bevatten zoals IP-adressen en domeinen. * Specifieke commentaren, typografische of grammaticale fouten: Kunnen uniek zijn voor bepaalde malware. * **Hex Strings:** YARA ondersteunt ook hexadecimale strings, wat essentieel is voor het matchen van binaire patronen. * Voorbeeld: `$a = {74 6f 70 20 73 65 63 72 65 74}` ( komt overeen met "top secret" in hex) * **Wildcards:** Vraagtekens (`?`) kunnen worden gebruikt als wildcards voor individuele bytes. * **Bytebereiken:** Vierkante haken `[]` kunnen worden gebruikt om een bereik van bytes aan te geven, bijvoorbeeld `$a = { 74 [2-10] 6f 70 20 73 65 63 72 65 74 }` (zoek naar '74', gevolgd door 2 tot 10 willekeurige bytes, gevolgd door "op secret"). * **Alternatieven:** Verticale lijnen `|` kunnen worden gebruikt om alternatieve byte-sequenties aan te geven, bijvoorbeeld `$a = { 74 (01 02 | 03 04) 6f 70 20 73 65 63 72 65 74 }`. * **Condities:** Dit deel specificeert de logica die bepaalt of een regel triggert. Het kwantificeert welke strings moeten overeenkomen en onder welke omstandigheden. * Voorbeelden van condities: * `3 of ($a,$b,$c,$d)`: Minstens 3 van de genoemde strings moeten voorkomen. * `3 of ($a*)`: Minstens 3 strings met het prefix `$a` moeten voorkomen. * `$a and not $b`: String `$a` moet voorkomen en string `$b` mag niet voorkomen. * **Voorbeelden van YARA-condities:** * `uint16(0) == 0x5A4D`: Controleert de eerste twee bytes van een bestand om te zien of het de MZ-specificatie van een Windows EXE bevat. * `uint32(0) == 0x464c457f) or (uint32(0) == 0xfeedfacf)`: Controleert de magische bytes van een bestand om te bepalen of het een Linux-binair is. * `uint16be(0x00) == 0xFFD8`: Controleert de magische bytes van een JPEG-bestand. * `$vbe = /#@~\^.+\^#~@/`: Gebruikt een reguliere expressie om een VBE-bestand binnen een byte-reeks te detecteren. * `($a == 6)`: Controleert of het aantal voorkomens van string `$a` gelijk is aan 6. ### 2.2 Internetbrede Scan- en Zoekmachines Deze tools bieden inzicht in de externe attack surface van organisaties en het internet als geheel. Ze scannen poorten, identificeren services, ontdekken certificaten en indexeren apparaten en diensten wereldwijd. * **Urlscan.io:** Een online scanner voor URL's en websites. Het analyseert de fetch-activiteit, DOM, netwerkverzoeken en redirects om malafide indicatoren en phishinggedrag te identificeren. Het biedt ook visuele weergaven, metadata en dreigingsscores, wat nuttig is voor SOC-, IR- en phishing-triagedoeleinden. * **Censys.io:** Een internetbrede scan- en zoekmachine voor hosts, services en certificaten. Het brengt continu de IPv4-ruimte, het TLS-ecosysteem en cloud-infrastructuren in kaart. Het stelt gebruikers in staat open poorten, protocollen, softwareversies en misconfiguraties te ontdekken en ondersteunt threat hunting en vulnerability assessment. * **Shodan.io:** Een zoekmachine voor internetverbonden apparaten en diensten. Het indexeert banners van poorten, protocollen, IoT-apparaten, ICS en cloudservices, en onthult blootstellingen, misconfiguraties, kwetsbaarheden en open services. Het is een waardevolle tool voor threat hunting, asset discovery en externe attack-surface mapping. * **Hunter.how:** Een gespecialiseerde, webgebaseerde zoekmachine voor het in kaart brengen, fingerprinten en analyseren van de externe attack surface van een organisatie. Het scant en indexeert de wereldwijde IPv4- en IPv6-ruimte om informatie te verzamelen over internetverbonden apparaten en diensten. Het identificeert specifieke technologieën, producten en versies die op poorten draaien. * **FOFA (Footprint Finder):** Een op China gebaseerde cyberspace zoekmachine die door beveiligingsonderzoekers wordt gebruikt om internet-facing apparaten en digitale assets wereldwijd actief te scannen, in kaart te brengen en informatie te verzamelen. Vergelijkbaar met Shodan en Hunter.how, focust FOFA op fingerprinting van software, hardware, besturingssystemen en versies. Het biedt een krachtige query-taal voor gedetailleerde zoekopdrachten. * **Driftnet.io:** Een internetbrede attack-surface & exposure intelligence platform dat hosts, services, poorten, TLS-certificaten en internetverbonden assets wereldwijd scant. Het aggregeert service- en poortgegevens om blootgestelde of verkeerd geconfigureerde services te ontdekken. Het biedt een web-UI en API voor asset discovery, exposure monitoring en externe attack-surface analyse. ### 2.3 Malware Analyse Platforms Deze platforms bieden geavanceerde methoden om verdachte bestanden en URLs te analyseren en hun gedrag in een gecontroleerde omgeving te bestuderen. * **Virustotal:** Een multi-engine malware analyseplatform voor bestanden, URL's, IP's en domeinen. Het aggregeert resultaten van antivirusengines, sandboxes, reputatiesystemen en threat-intel feeds. Het biedt statische en dynamische analyse, gedragslogboeken, metadata en grafische weergaven van relaties, en wordt gebruikt voor malware triage, incident response en threat-intel verrijking. * **Tria.ge:** Een cloudgebaseerd malware-analyse- en sandboxplatform. Het voert samples (bestanden, URL's, payloads) uit in geïsoleerde omgevingen om hun gedrag te observeren en gedetailleerde rapporten te genereren over procesactiviteit, netwerkverkeer, injecties, persistentie en IOC's. Het ondersteunt diverse besturingssystemen en mobiele omgevingen. ### 2.4 IP- en Netwerkinlichtingenplatforms Deze tools richten zich op het verzamelen en analyseren van gegevens over IP-adressen, netwerkactiviteit en de bredere internetinfrastructuur. * **GreyNoise:** Een internetbrede ruisinlichtingenplatform dat massascans en achtergrondverkeer bijhoudt. Het classificeert IP-adressen op basis van hun gedrag en intentie om onderscheid te maken tussen legitieme scanners en daadwerkelijke bedreigingen. Het vermindert alertmoeheid door commodity-ruis te filteren en biedt IP-reputatie, tagging en context. * **AbuseIPDB:** Een community-gedreven IP-dreigingsdatabase die informatie deelt over malafide IP-adressen. Het verzamelt rapporten over spam, hacking, DDoS, brute-force-aanvallen, malwareverspreiding en ander misbruik. Gebruikers kunnen IP-reputatie en historische misbruiksactiviteit opzoeken en de data integreren via een API voor geautomatiseerde blokkering en monitoring. * **SPUR:** Een high-fidelity IP-intelligentie- en data-feedplatform dat grootschalige, up-to-date gegevens levert over IP-adressen, proxies, VPN's en geanonimiseerd/residentieel verkeer. Het volgt miljoenen actieve anonieme IP's en honderden VPN/proxy-services, en biedt gedetailleerde attributen per IP, inclusief geolocation, ASN, proxy/VPN-status en verbindingsinformatie. * **Mnemonic PDNS (Passive DNS):** Een dienst die historische en real-time DNS-gegevens verzamelt en analyseert om threat hunting en incident response te ondersteunen. Het verzamelt passief DNS-queries en -responsen, en archiveert deze data. Dit maakt het mogelijk om de levenscyclus van een domein te volgen, infrastructuurwisselingen te identificeren en domeinen te correleren die dezelfde C2-IP delen. ### 2.5 Ransomware en Spam Monitoring Tools Deze tools zijn specifiek ontworpen om de activiteiten van ransomware-groepen en de verspreiding van ongewenste e-mails te volgen. * **Ransomware.live:** Een open-source, real-time threat intelligence platform dat wereldwijde ransomware-activiteiten volgt. Het monitort continu Dark Web data leak sites (DLS) van dreigingsactoren. Het onderhoudt een zoekbare repository van slachtoffers en ransomwaregroepen, en aggregeert data over ransomclaims, ontdekkingsdatums en aanvalsdata. * **Ransomlook.io:** Een threat intelligence resource die zich richt op het monitoren van de gevolgen van ransomware-aanvallen, voornamelijk via het Telegram-platform. Het monitort DLS van ransomwaregroepen om nieuwe slachtoffers en activiteiten te volgen. Het biedt gedetailleerde profielen van ransomwaregroepen en heeft een API voor integratie met beveiligingstools. * **The Spamhaus Project:** Een internationale, non-profit organisatie die zich richt op het bestrijden van e-mailspam en gerelateerde cyberdreigingen. Het is een van de meest gebruikte bronnen van anti-spam-intelligentie wereldwijd. Spamhaus compileert en distribueert meerdere real-time DNS-gebaseerde Blocklists (DNSBLs) om ongewenste en malafide e-mails te filteren. * **Abuse.ch:** Een non-profit organisatie die malware en botnets bestrijdt door gratis, community-gedreven cyberdreigingsinformatie te verstrekken. Het beheert een reeks platforms zoals URLhaus (malicieuze URL's), MalwareBazaar (malware samples) en ThreatFox (Indicators of Compromise/IOC's). ### 2.6 URL- en DNS-analyse Tools Deze tools helpen bij het analyseren van verdachte URL's en het controleren van DNS-gerelateerde informatie. * **URLhaus:** Een project van abuse.ch dat zich toelegt op het delen van informatie over malafide URL's die actief worden gebruikt voor de verspreiding van malware. Het verzamelt en volgt URL's die malware payloads hosten. De verzamelde data wordt gedeeld met beveiligingsproducten en diensten zoals Google Safe Browsing. * **DNS Checker:** Een online hulpprogramma dat gratis, real-time DNS-lookup en propagatiecontroles uitvoert vanuit meerdere geografische locaties wereldwijd. Het controleert DNS-records (A, CNAME, MX, TXT, NS, etc.) voor een gespecificeerd domein en is essentieel voor het controleren van DNS-wijzigingen. * **DNSTwister:** Een open-source tool die malafide domeinen ontdekt die legitieme websites imiteren door middel van typfouten of visuele gelijkenissen. Het genereert een lijst met lookalike domeinvariaties en controleert of deze geregistreerd zijn en actieve DNS-records hebben. ### 2.7 Certificaat- en Domeinmonitoring Tools Deze tools bieden inzicht in de uitgifte en het gebruik van SSL/TLS-certificaten, wat cruciaal is voor het detecteren van phishing en andere vormen van misleiding. * **Certstream:** Een real-time intelligentie-feed die nieuw uitgegeven SSL/TLS-certificaten van het Certificate Transparency (CT) log-netwerk aggregeert en streamt. Het stelt beveiligingsteams in staat om proactief nieuwe bedreigingen te detecteren, zoals verdachte domeinen die worden gebruikt voor phishing. * **Phishing catcher:** Een Proof of Concept (PoC)-script dat potentiële phishing-domeinen in bijna real-time identificeert door de CertStream-feed te monitoren op nieuw uitgegeven TLS/SSL-certificaten. Het gebruikt een scoringssysteem op basis van trefwoorden en TLD's in de domeinnaam. * **crt.sh:** Een gratis, doorzoekbare webinterface en database die gegevens aggregeert uit het Certificate Transparency (CT) log-netwerk. Het stelt gebruikers in staat de uitgifte van SSL/TLS-certificaten wereldwijd te bevragen en te auditen, wat essentieel is voor externe attack-surface management (EASM) en phishingdetectie. ### 2.8 Overige Belangrijke Tools en Diensten * **Cyberchef:** Vaak de "Cyber Swiss Army Knife" genoemd, is dit een krachtige, webgebaseerde tool voor datamanipulatie en -analyse. Het biedt een uitgebreide bibliotheek van meer dan 300 operaties voor codering, decodering, encryptie, hashing, compressie en diverse dataformaatconversies. Het is onmisbaar voor het de-obfusceren van kwaadaardige code en het extraheren van IOC's. * **Malpedia:** Een collaboratieve, open-access platform dat dient als een uitgebreide kennisbank en gecureerde corpus voor malware-analyse en -onderzoek. Het biedt gedetailleerde profielen van duizenden malwarefamilies en bijbehorende dreigingsactoren, inclusief technische beschrijvingen en historische tijdlijnen. * **Hashlookup:** Een gratis, open-source project dat wordt gebruikt in digital forensics en incident response (DFIR) om bekende bestanden efficiënt te identificeren door hun cryptografische hashes te controleren tegen enorme openbare databases, zoals de NIST National Software Reference Library (NSRL). * **Wayback Machine:** Een digitaal archief van het World Wide Web gemaakt door de Internet Archive. Het bewaart de geschiedenis van het internet door periodieke snapshots van websites te maken, waardoor gebruikers websites kunnen bekijken zoals ze in het verleden verschenen. Dit is nuttig voor cybersecurity forensics om malafide pagina's te bekijken nadat ze zijn verwijderd. * **Browserling:** Een cloudgebaseerde service voor cross-browser compatibiliteitstesten. Het stelt gebruikers in staat hun website in verschillende browsers en besturingssystemen te testen, wat kan worden gebruikt om verdachte links veilig te bezoeken, aangezien de browsesessies geïsoleerd zijn in hun sandbox. * **DNS over HTTPS (DoH):** Een protocol dat DNS-resolutie uitvoert over HTTPS, waardoor DNS-queries en -responsen worden versleuteld. Dit voorkomt afluisteren, manipulatie en tracking van DNS-verzoeken, wat de privacy verhoogt en DNS-spoofing tegengaat. * **Cloudflare RADAR:** Een real-time internetverkeersinzichten en threat intelligence platform van Cloudflare. Het volgt wereldwijde internettrends, verkeerspatronen en beveiligingsevents, en monitort DDoS-aanvallen, botactiviteit en opkomende bedreigingen. * **Tranco List:** Een onderzoeksgerichte, gerangschikte lijst van de meest populaire websites op internet. Het biedt een stabiel en reproduceerbaar alternatief voor commerciële site-ranglijsten voor academisch en beveiligingsonderzoek. * **Lookyloo:** Een open-source cybersecurity tool voor het onderzoeken en ontleden van websites. Het legt een webpagina vast, simuleert een gebruikersbezoek en visualiseert de boom van domeinen die met elkaar interageren tijdens het capture-proces. Het is nuttig voor het identificeren van malafide activiteit. * **BGPranking - CIRCL:** Een open-source beveiligingsinlichtingenproject dat een beveiligingsrisicoscore berekent voor Autonomous System Numbers (ASNs) op basis van de malafide activiteit die ze huisvesten. Het verzamelt data van diverse blocklists om "slechte buurten" van netwerken te identificeren. * **Silent Push:** Een proactief cyberdreigingsinformatieplatform dat zich richt op het identificeren en volgen van malafide infrastructuur voordat deze wordt gebruikt in een aanval. Het modelleert hoe dreigingsactoren hun infrastructuur opbouwen om aanvalspatronen te detecteren vóórdat ze worden ingezet. Deze platforms en tools vormen samen een cruciaal ecosysteem voor het begrijpen en bestrijden van moderne cyberdreigingen. Door hun gecombineerde functionaliteiten kunnen beveiligingsprofessionals een proactieve en geïnformeerde houding aannemen tegenover de steeds evoluerende dreigingslandschap. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | YARA | YARA is een tool die wordt gebruikt om bestanden en netwerkverkeer te identificeren op basis van tekstuele of binaire patronen. Het maakt gebruik van signaturen, vergelijkbaar met oudere antivirusprogramma's, en wordt omschreven als 'grep op steroïden'. | | Regel (YARA) | Een YARA-regel bestaat uit een set strings en condities die de logica van de detectie bepalen. Deze regels helpen bij het identificeren van specifieke patronen die wijzen op de aanwezigheid van malware of andere verdachte activiteiten. | | Meta (YARA) | Het meta-gedeelte van een YARA-regel bevat contextuele informatie zoals de auteur, aanmaakdatum, versie, referentie naar samples, een beschrijving van het doel van de regel en eventuele deelrestricties (TLPCode). | | Strings (YARA) | Dit zijn de detecteerbare patronen binnen een YARA-regel, die zowel tekstueel als hexadecimaal kunnen zijn. Modifiers zoals Fullword, Wide, Nocase en Wide ascii kunnen worden gebruikt om de zoekopties te verfijnen. | | Conditie (YARA) | Het conditiegedeelte definieert de logische voorwaarden waaraan voldaan moet worden om een match te genereren. Dit kan variëren van het aantal voorkomende strings tot specifieke bytepatronen en file headers. | | Mutexes | Een uniek identificatieobject dat vaak door malwarefamilies wordt gebruikt. Het controleren op de aanwezigheid van een mutex kan aangeven of een apparaat al is geïnfecteerd. | | Gebruikersagenten | Rare en ongebruikelijke gebruikersagenten in netwerkverkeer kunnen indicaties geven van Command and Control (C2) communicatie van malware. | | Register Sleutels | Register sleutels kunnen worden gebruikt als persistentie-mechanismen door malware, waardoor deze na een herstart van het systeem opnieuw kan worden uitgevoerd. | | PDB Pad | PDB (Program Database) paden kunnen debugging-informatie bevatten die achterblijft in gecompileerde bestanden en nuttig kan zijn voor analyse. | | Hex Strings | Hexadecimale weergave van binaire data. In YARA kunnen hex strings wildcards (??) en specificaties voor bereiken van bytes gebruiken om flexibeler te zoeken. | | Urlscan.io | Een online scanner voor URL's en websites die analyses uitvoert op fetches, DOM, netwerkverkeer en redirects om malafide indicatoren en phishinggedrag te identificeren. | | Censys.io | Een internet-brede scan- en zoekmachine voor hosts, services en certificaten die open poorten, protocollen, softwareversies en misconfiguraties blootlegt. | | Shodan.io | Een zoekmachine voor internet-verbonden apparaten en services die banners indexeert om blootstellingen, misconfiguraties, kwetsbaarheden en open services te onthullen. | | Hunter.how | Een gespecialiseerde, webgebaseerde zoekmachine voor het in kaart brengen, fingerprinten en analyseren van de externe aanvalsoppervlakte van een organisatie voor beveiligingsdoeleinden. | | FOFA | FOFA (Footprint Finder) is een cyberspace-zoekmachine die actief internet-facing apparaten en digitale activa wereldwijd scant, in kaart brengt en verzamelt voor beveiligingsonderzoekers. | | Virustotal | Een multi-engine malware-analyseplatform voor bestanden, URL's, IP's en domeinen dat resultaten aggregeert van antivirus engines, sandboxes, reputatiesystemen en threat-intel feeds. | | Tria.ge | Een cloudgebaseerd platform voor malware-analyse en sandboxing dat samples uitvoert in geïsoleerde omgevingen om gedrag te observeren en gedetailleerde rapporten te produceren. | | Greynoise | Een internet-breed ruis-intelligentieplatform dat massale scans en achtergrondverkeer volgt en IP-adressen classificeert op basis van gedrag en intentie. | | AbuseIPDB | Een gemeenschapsgestuurde IP-dreigingsdatabase die informatie bijhoudt en deelt over malafide IP-adressen die worden gerapporteerd voor spam, hacking, DDoS en andere misbruiken. | | DNS-over-HTTPS (DoH) | Een protocol dat DNS-resolutie uitvoert via HTTPS, waardoor DNS-query's en -antwoorden worden versleuteld om luisteren, manipulatie en ISP-tracking te voorkomen. | | Cloudflare RADAR | Een real-time internetverkeerinzichten en threat intelligence platform van Cloudflare dat wereldwijde internettrends, verkeerspatronen en beveiligingsevenementen volgt. | | Tranco List | Een onderzoeksgerichte, gerangschikte lijst van de meest populaire websites op het internet, bedoeld als een stabiel en reproduceerbaar alternatief voor commerciële site-ranglijsten. | | SPUR | Een high-fidelity IP-intelligentie- en data-feedsplatform dat grootschalige, up-to-date gegevens levert over IP-adressen, proxies, VPN's en geanonimiseerd/residentieel verkeer. | | Lookyloo | Een open-source cybersecuritytool voor het onderzoeken en ontleden van websites door een webpage vast te leggen en de onderlinge domeinrelaties te visualiseren. | | Cyberchef | Een krachtige, webgebaseerde tool, ook wel de 'Cyber Swiss Army Knife' genoemd, voor data-manipulatie en -analyse met meer dan 300 operaties voor codering, decodering, encryptie en hashing. | | Ransomware.live | Een open-source, real-time threat intelligence platform dat wereldwijde ransomware-activiteiten volgt door informatie te schrapen van dreigingsactoren, met name hun dark web dataleksites. | | Ransomlook.io | Een specifieke threat intelligence bron die zich richt op het monitoren van de nasleep van ransomware-aanvallen, met name door het volgen van dark web leak sites. | | Spamhaus | Een internationale, non-profit organisatie die zich toelegt op het bestrijden van e-mailspam en gerelateerde cyberdreigingen door middel van real-time blocklists (DNSBL's). | | Abuse.ch | Een non-profit organisatie die zich toelegt op het bestrijden van malware en botnets door het verstrekken van gratis, gemeenschapsgestuurde cyberdreigingsinformatie via een ecosysteem van platforms. | | Threatfox | Een gespecialiseerd, open-source platform van abuse.ch dat zich toelegt op het in realtime delen van Indicators of Compromise (IOC's) met betrekking tot malware en botnets. | | URLhaus | Een project van abuse.ch dat zich toelegt op het delen van intelligentie over malafide URL's die actief worden gebruikt voor de distributie van malware. | | MalwareBazaar | Een gratis, gemeenschapsgestuurd platform van abuse.ch dat is toegewijd aan de uitwisseling en verrijking van geverifieerde malware-samples. | | YARAify | Het dedicated YARA-regel scan- en jachtplatform van het abuse.ch project, gericht op het helpen van de beveiligingsgemeenschap bij het classificeren en volgen van malware. | | Hunting.Abuse.ch | De gecentraliseerde zoekinterface voor de diverse, onderling verbonden threat intelligence platforms die door het abuse.ch project worden beheerd, gericht op het bestrijden van malware en botnets. | | Hashlookup | Een gratis, open-source project en service die voornamelijk wordt gebruikt in digital forensics en incident response (DFIR) om bekende bestanden efficiënt te identificeren door hun cryptografische hashes te vergelijken met enorme publieke databases. | | Waybackmachine | Een digitaal archief van het World Wide Web, gemaakt door de Internet Archive, dat periodieke snapshots van websites bewaart om de geschiedenis van het internet te bewaren. | | Browserling | Een cloudgebaseerde service ontworpen om webontwikkelaars en kwaliteitsborgingsprofessionals te helpen bij het efficiënt en betaalbaar uitvoeren van cross-browser compatibiliteitstests. | | DNS checker | Een populaire online utility die gratis, real-time DNS-lookup- en propagatiecontroles biedt vanaf meerdere geografische locaties wereldwijd. | | DNSTwister | Een geavanceerd, open-source hulpprogramma ontworpen om proactief malafide domeinen te ontdekken die legitieme websites imiteren, voornamelijk door typfouten of visuele gelijkenissen uit te buiten. | | Mnemonic - PDNS | Mnemonic PDNS (Passive DNS) is een service die historische en real-time DNS-gegevens verzamelt en analyseert om te helpen bij threat hunting en incident response. | | CERTSTREAM | Een real-time intelligentie-feed die nieuw uitgegeven SSL/TLS-certificaten aggregeert en streamt van het Certificate Transparency (CT) lognetwerk om beveiligingsteams in staat te stellen nieuwe dreigingen proactief te detecteren. | | Phishing catcher | Een tool gebouwd voor real-time beveiligingsmonitoring door gebruik te maken van publiek beschikbare certificaatgegevens om potentiële phishing-domeinen te identificeren. | | Crt.sh | Een gratis, publiekelijk doorzoekbare webinterface en database die gegevens aggregeert uit het Certificate Transparency (CT) lognetwerk, waardoor gebruikers de uitgifte van SSL/TLS-certificaten wereldwijd kunnen bevragen en auditen. | | BGPranking - CIRCL | Een open-source beveiligingsintelligentieproject ontwikkeld door CIRCL dat een beveiligingsrisicoscore voor Autonomous System Numbers (ASN's) berekent op basis van de malafide activiteit die zij hosten. | | Malpedia | Een collaboratief, open-toegangsplatform dat fungeert als een uitgebreide kennisbank en gecureerde corpus voor malware-analyse en -onderzoek, met gedetailleerde profielen van malwarefamilies en bedreigingsactoren. | | Silent push | Een proactief cyberdreigingsintelligentieplatform dat zich richt op het proactief identificeren en volgen van malafide infrastructuur voordat deze in een aanval wordt gebruikt, met behulp van 'Indicators of Future Attack' (IOFA™). |