Sample Files
The files that are available for download here are usually malware, please treat these files accordingly. Malicious samples are packed as zip or 7zip archives with the password infected.
[imp@mal.re /tmp/classes/hsbund-2025/]$ cat aufgabe8.md
Zur Untersuchtung steht das Asservat mit der folgenden SHA-256 Prüfsumme:
```
12d8bfa1aeb557c146b98f069f3456cc8392863a2f4ad938722cd7ca1a773b39
```
Es handelt sich um eine Ransomware names "REvil", welche API-Hashing verwendet.
Der Rest des Kurses besteht aus der Bearbeitung der folgenden Aufgaben:
1. Analysiere das Sample top-down bis zur String-Decryption Funktion. Zur Erinnerung: Diese verwendet RC4. Schreibe Dir eine kurze [BinaryRefinery][BR] Pipeline, ein [CyberChef][CC] Rezept, oder ein [Python][Py]-Skript, um einfach und schnell einzelne Strings entschlüsseln zu können. Dieser Aufgabenschritt ist nur dafür wichtig, die API-Hashing routine korrekt verstehen zu können.
2. Identifiziere und analysiere die API-hashing Funktion.
3. Erstelle eine Enumeration von API hashes, welche Du dann in Ghidra importierst. Zu diesem Zweck findest Du im Aufgabenarchiv Python-Skripte, in welchem das API-hashing nach-implementiert werden muss.
[BR]: https://github.com/binref/refinery/
[CC]: https://gchq.github.io/CyberChef/
[Py]: https://www.python.org/