Hallo zusammen,
Florian Roth hat auf [0] eine passende YARA Regel erstellt, welche bspw. über Thor-Lite genutzt werden kann
01. Download von Thor Lite via [1]
02. entpacken des zip-files
03. Lizens via [1] besorgen (Registrierung erforderlich)
04. Lizenz-Datei in dem neuen Ordner "thor-lite" ablegen
05. signature-base (onkl. der Yara rule [0] besorgen)
cd ~/thor-lite git clone https://github.com/Neo23x0/signature-base.git fgrep -ri "554697077430505473" *
06. Verzeichnis scannen
cd ~/thor-lite ./thor-lite-util upgrade /thor-lite-linux-64 -a Filescan -p ${DIR_TO_SCAN}
FYI und VG
Bernd
[0] https://github.com/Neo23x0/signature-base/blob/master/yara/gen_github_repo_c...
[1] https://www.nextron-systems.com/thor-lite/
[2] https://github.com/Neo23x0/signature-base/