Привет всем. Я тут задумался о смысле создании локальной автоматической системы по анализу малвари. Обьясню суть. При помощи API какого-то вирус трекера ( или любым другим способом ) - грузятся семплы. Семплы разворачиваются на виртуалках, их поведение отслеживается, ставятся заметки по конкретным пунктам. Так-же можно реализовать систему анализа нескольких файлов с целью поиска в них сходств. Т.е возможность определить, что два софта писал один и тот же автор. Вообще, суть идеи в добыче интересных методов персиста, повышения привилегий, прочего-прочего. Кто что думает, стоит ли тратить время на это?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Система автоматизированного анализа малвари
- Автор темы Depression
- Дата начала
Есть https://app.any.run/, немного по функционалу отличается от твоих идей, но все же такие сервисы есть. Если считаешь что ты сделаешь уникальный продукт, то почему бы нет собственно.
- Автор темы
- Добавить закладку
- #3
app.any.run - общая песочница. А я говорю про собственную систему, созданную для отлова уникальных методов и технологий, с детальным анализом. Без какой либо коммерции и работы на публику.
Могу только пожелать успехов в начинании такого плейса и не расстерять энтузиазм в процессе его создания. Такие сервисы всегда будут востребованы.
Ты только что описал алгоритм работы антивируса и ав компаний...
- Автор темы
- Добавить закладку
- #6
Нет. Там всё более банально. А я подразумеваю глубокий анализ на предмет всяких интересностей. Да и в целом у этой системы будет другое предназначение.
Ну, если более глубокий анализ, то это нужно курить в сторону ИИ и машин лёрнинг. А мне кажется, что 95% мемберов этого форума даже не выкупают, про что я говорю.
Берете кукушку/панду/что-то еще и деплоите. Чтобы найти что-то интересное, нужно знать, что вы ищите. Дописывать скрипты придется ручками. Если вы заинтересованы в поиске семплов, то проще скрысить/купить подписку на вт/где-то еще, где есть мощная система фильтров.
Два софта один и тот автор в условиях постоянных копипастов это сложно...там совсем уже тонкости которые на автомате малореально ловить...скорее по обфускатору идентифицировать...
А поведение..ну проц мон в качестве базы + по кому допилить, ком мон.
В чем профит непонятно...натырить техник?..пожалуй это самый трудоемкий и неэффективный путь будет.
А поведение..ну проц мон в качестве базы + по кому допилить, ком мон.
В чем профит непонятно...натырить техник?..пожалуй это самый трудоемкий и неэффективный путь будет.
Все верно было сказано выше, бери кукушку и кастомизируй под себя. По сути она делает все. Тебе останется написать анализатор лога после отработки семпла.
- Автор темы
- Добавить закладку
- #11
А почему нельзя устроить ИИ, который выполнит деобфускацию / распаковку на лету? Я понимаю, что задача достаточно сложная, однако для банальных методов обфускации и запутывания кода такое сделать вполне можно, или я не прав? Профит заключается в том, что это добыча интересных техник и прочего на полном пассиве. Согласен, шанс выловить что-то реально стоящее не очень велик, однако и в этом есть смысл.
- Автор темы
- Добавить закладку
- #12
Действительно годный совет, спасибо!
Это сложно распаковка и деобфускация на лету. Оптимальный вариант дамп памяти в нужный момент. Как тригер можно использовать к примеру начало сетевоцй активности семпла. Ну и потом уже на хосте анализ дампа.
- Автор темы
- Добавить закладку
- #14
Понял, попробую реализовать что-то на подобии этого. Спасибо!
В догонку https://medium.com/@zemelusa/first-steps-to-volatile-memory-analysis-dcbd4d2d56a1
Фрейворк хороший но редко кто использует.
Фрейворк хороший но редко кто использует.