jueves, 22 de diciembre de 2016

NORIBEN - Un recinto de seguridad basada en Python para análisis de malware

NORIBEN es un guión basado en Python que trabaja en conjunto con Sysinternals Procmon para recopilar automáticamente, analizar e informar sobre los indicadores de tiempo de ejecución de malware. En definitiva, se le permite ejecutar el software malicioso, y obtener un informe de texto simple de las actividades del malware.
Esta herramienta sólo requiere Sysinternals procmon.exe (o procmon64.exe) para operar. NORIBEN es una solución ideal para muchos casos de malware inusuales, tales como aquellos que no iría desde dentro de un entorno de pruebas estándar. Estos archivos tal vez requiera argumentos de línea de comandos o tenían detección / OS de VMware que tuvo que ser depurado de forma activa o ciclos muy largos de sueño. Estos problemas se resuelven con NORIBEN.
Basta con ejecutar NORIBEN, a continuación, ejecutar el software malicioso de una manera que va a hacer que funcione. Si existe una protección activa, ejecutarlo dentro OllyDbg / Inmunidad mientras NORIBEN está en ejecución y anula todas las comprobaciones anti-análisis. Si tiene una actividad que cambia con el día, sólo tiene que poner en marcha NORIBEN y el malware durante un largo fin de semana y procesar sus resultados cuando vuelva a trabajar.

caracteristicas: 

  • Si usted tiene una carpeta de archivos de firma YARA, se puede especificar con el -yara opción. Cada nuevo archivo será escaneado en contra de estas firmas con los resultados que se muestran en los resultados de la salida.
  • Si usted tiene un API de VirusTotal, colocarla en un archivo denominado " virustotal.api " (o incrustar directamente en el guión) para envío automático de archivos hash MD5 en VT para obtener el número de resultados virales.
  • Puede añadir listas de MD5s para auto-ignorar (como la totalidad de los archivos del sistema). Utilice md5deep y echarlos en un archivo de texto, utilice -hash para leerlos.
  • Puede automatizar el guión de recinto de seguridad en el uso. Usando -t para automatizar el tiempo de ejecución, y -cmd " ruta \ exe " para especificar un archivo de malware, puede ejecutar automáticamente el malware, copiar los resultados de descanso, y luego volver a ejecutar una nueva muestra.
  • El -generalize función sustituirá automáticamente rutas absolutas con rutas de entorno de Windows para un mejor desarrollo del COI.
Aquí está el enlace para  DESCARGAR .

fuente: [ effecthacking]

No hay comentarios:

Publicar un comentario

Disqus Shortname

Comments system