Το malwr είναι μια υπηρεσία ανάλυσης αρχείων που βασίζεται στο ανοιχτού κώδικα πρόγραμμα Cuckoo. Οι δημιουργοί του ουσιαστικά διατηρούν ένα Cuckoo sandbox το οποίο αναλύει τα αρχεία που ανεβάζετε στο malwr και ελέγχει αν και κατά πόσο αυτά είναι επικίνδυνα.
Το Cuckoo sandbox είναι σχεδιασμένο τρέχει σε ένα Virtual Machine με Windows σε ένα μηχάνημα που τρέχει Linux. Ρόλος του είναι η ο έλεγχος αρχείων και η αυτοματοποιημένη ανάλυση τους σε ένα απομονωμένο περιβάλλων. Στην παρούσα φάση το cuckoo είναι σε θέση να τρέξει αναλύσεις για εκτελέσιμα προγράμματα Windows, DLLs, κείμενα PDF, κείμενα Office, σκριπτάκια σε Python και PHP μέχρι και URLs στο internet.
Ορισμένες από τις αναλύσεις που το Cuckoo κάνει είναι οι ακόλουθες:
- Ανίχνευση των σχετικών κλήσεων στο Win32 API.
- Καταγραφή της κίνησης δικτύου που δημιουργείται κατά την ανάλυση.
- Λήψη screenshots κατά την διάρκεια της ανάλυση.
- Καταγραφή των αρχείων που δημιουργούνται, διαγράφονται, και λαμβάνονται από ένα malware κατά την διάρκεια της ανάλυσης.
- Ανίχνευση των εντολών assembly που εκτελούνται από ένα κακόβουλο πρόγραμμα.
Επιπροσθέτως το cuckoo σας επιτρέπει:
- τον αυτοματισμό των εργασιών ανάλυσης
- την δημιουργία πακέτων ανάλυσης ώστε να καθορίσετε τις δικές σας διαδικασίες και ενέργειες κατά την ανάλυση
- την εκτέλεση πολλαπλών virtual machines ταυτόχρονα
- δημιουργία scripts για την δημιουργία διαδικασιών και συσχετισμού των δεδομένων ανάλυσης
- δημιουργία scripts για την αυτοματοποιημένη δημιουργία εκθέσεων των αναλύσεων σας ανάλογα με το format που επιθυμείτε
Το Cuckoo αποτελεί ένα χρήσιμο εργαλείο ειδικά αν ασχολείται κανείς επαγγελματικά με την ασφάλεια δικτύων, ωστόσο για να εκμεταλλευτεί κανείς τις δυνατότητες του θα πρέπει να αφιερώσει αρκετό χρόνο.
Παρακάτω ακολουθεί ένα μικρό videο που επιδεικνύει τις δυνατότητες του ενάντια στο γνωστό trojan ZeuS.
Cuckoo eats ZeuS v2 from Claudio G. on Vimeo.
One Response
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.
Continuing the Discussion