Cuckoo Sandbox

3
04.02.2012
в

Cuckoo Sandbox — это, если кратко, система для автоматического исследования вредоносного ПО, эксплоитов, вредоносных скриптов, документов и ссылок.
Выполнена Cuckoo Sandbox на Python, отсюда кроссплатформенность, открытость и гибкость настроек. В качестве виртуальной среды рекомендуется использовать windows xp, работающую в виртуальной среде VirtualBox.

Что это такое?
Все наверное видели сервисы онлайн-проверок подозрительных файлов, типа anubis.iseclab.org, так вот с помощью Cuckoo можно поднять такую штуковину на своей машине.

Как это работает?
В специально подготовленной виртуальной системе устанавливается Python 2.6-2.7.2, затем делается снимок. С помощью vboxapi получается доступ к управлению виртуальной машиной, файл запускается а специальные подпрограммы производят мониторинг и запись всей активности в системе.
Я писал несколько раз про Buster Sandbox Analyzer, но у того комплекса есть проблемы с проверкой некоторого вредоносного ПО, оснащенного защитой от виртуализации в sandboxie, да и автоматизация пока хромает. Не спорю, и недостатки имеются, но тем не менее, инструмент впечатляющий.

 

Помимо исполняемых файлов EXE, может быть проведен анализ вредоносных PDF-документов, офисных документов, библиотек DLL, скриптов на PHP, Perl, Python, проверка подозрительных ссылок и многое другое.

И так, на что способна Cuckoo Sandbox:

  • Мониторинг вызовов win32 API функций
  • Дамп сетевой активности
  • Создание скриншотов в ходе выполнения анализа
  • Сохранение копий всех созданных файлов в процессе проверки
  • Трассировка инструкций, выполняемых вредоносным процессом
  • Создание удобного отчета в txt, json и html-форматах
  • Абсолютная изолированность среды, в которой производится запуск вредоносных программ

Все проверенные файлы сохраняются в базу, которая доступна через веб-интерфейс:

И это только базовые возможности. Проект полностью открытый, по этому с некоторыми знаниями Python можно «кукушку» улучшить для своих нужд.

Удобно то, что имеется поддержка заданий, то есть можно подкидывать файлы, по мере освобождения виртуальной машины, на проверку будут браться новые задания из списка.

Для более подробного ознакомления я приведу пример отчетов об анализе ряда вредоносов в конце поста, а пока можете лицезреть онлайн-версию этой песочницы. Этот вариант может несколько отличаться от того, что находится в свободном доступе.

malwr.com

Руководство по установке входит архив с программой, все описано достаточно подробно на понятном буржуйском, единственное, о чем позабыли упомянуть авторы руководства, так это один из необходимых для работы пакетов — VirtualBox SDK, соответствующей установленной версии VirtualBox. Но это не страшно.

Единственное, что у меня вызвало затруднения — перехват трафика с помощью tcpdump, но это проблемы системные, тут нужен бубен и пиво.

Скачать самую свежую версию всегда можно из git-репозитория:

git clone git://github.com/cuckoobox/cuckoo.git

Стабильные релизы, документация и дополнительная информация доступны для скачивания с официального сайта:

cuckoobox.org

Примеры репортов:

Обновление Anvir Task Manager до версии 6.5

3
03.02.2012
в

30 декабря вышло обновление мощного менеджера процессов и автозагрузки Anvir Task Manager

Программа не обновлялась уже почти два года, форум разработчиков начал загибаться, но все же они сделали это. Отечественная версия не имеет англоязычного интерфейса, зато обладает функционалом эквивалентным буржуйской версии PRO.

Напомню, что основными отличительными чертами и достоинствами именно этого продукта являются возможность создавать лог HijackThis, что позволяет ее использовать при дистанционном лечении, а так же мониторинг автозагрузки в реальном времени, позволяющий оперативно отслеживать попытки записи каких-либо изменений в авторан.

Полный перечень функций и отличий в версиях можно посмотреть тут:

http://www.anvir.com/task-manager-windows-startup.htm

Из нововведений не могла не порадовать оптимизация программы для нормальной работы с автозагрузкой Windows 7 x64, поддержка Windows 8, а так же возможность завершения стойких процессов. То есть теперь диспетчер процессов тут помощнее штатного taskmgr.

Список косметических улучшений, изменений и багфиксов:

  • Возможность выбирать несколько программ на вкладке автозагрузки и запускать или удалять сразу несколько программ.
  • В трее в мониторинге загрузки диска при большой загрузке показывается отдельно загрузка чтения и записи.
  • Расширены шкалы на графике производительности.
  • Температура процессора отображается на иконке в трее.
  • Проверка подписей файлов производится в фоне.
  • Мониторинг трафика не включается автоматически при старте программы.
  • Отказ от поддержки старых операционных систем (win98,2k) + многое другое.

Скачать инсталлятор можно с официального сайта:

http://www.anvir.net/downloads/anvirrus.exe

Во время установки рекомендую убрать галочки, позволяющие инсталлятору понаставить всяческих тулбаров и оптимизаторов реестра, толку от них мало, только мешаться будут.

Так же существует портативная версия, не требующая установки, ее я и советую использовать:

http://www.anvir.net/downloads/anvirrus.zip

PEBrowse Professional Disassembler+Debugger

0
02.02.2012
в

PEBrowse Professional представляет собой инстурмент для статического исследования и дизассембирования исполняемых файлов Шindows. Поддерживаются .Net и x64 приложения.
Имеет удобный и компактный интерфейс.

PeBrowse поможет получить информацию о всех процедурах а так же точках входа в них. Программа способна вытянуть следующую инфу:

  • module entry-point
  • exports (if any)
  • debug-symbols (if a valid PDB, i.e., program database file, is present)
  • imported API references
  • relocation addresses
  • internal functions/subroutines
  • any valid address inside of the module

Подробней на оф.сайте:

smidgeonsoft.prohosting.com/pebrowse-pro-file-viewer.html

PEBrowse Professional Interactive — а это уже отладчик для интерактивного анализа исполняемых файлов в режиме ring-3. Так же поддерживаются x64 и .Net прилодения. Интерфейс чем-то напоминает WinDbg.
(далее…)

VB Decompiler 8.3

0
31.01.2012
в

VB Decompiler — это инструмент для декомпиляции бинарников, написанных на Visual Basic (EXE, OCX, DLL), и дизассемблирования .Net-приложений.
Естественно, рабочий исходный код получить вряд ли получится, но тем не менее этот декомпилятор может быть крайне полезным при анализе файлов.
Поддерживаются VB-приложения, скомпилированные в интерпритируемый p-code или выполняемый native code.
Более того, в случае с p-code исходники, полученные в ходе декомпиляции, максимально приближены к оригиналу, что после небольшой доработки может позволить получить вполне рабочий код.
.Net-приложения восстанавливаются до состояния таблицы сборки и IL-кода.
Подробней на оф.сайте: 

vb-decompiler.org

Скачать VB Decompiler 8.3 (6,13 МЬ)
Пароль на архив — onthar.in

RDG Packer Detector

0
31.01.2012
в


RDG Packer Detector — это анализатор PE-файлов для определения упаковщика, протектора, криптора или компиллятора, одним словом аналог PEiD или Exeinfo PE.
Имеет не слишком приятный интерфейс, написана на VB6, но тем не менее функционал компенсирует эти недостатки.

Подробнее:

  • Имеет разные уровни сканирования, выдает несколько диагнозов для файла
  • Создание собственных сигнатур
  • Крипто-анализатор
  • Подсчет контрольных сумм
  • Энтропия файла
  • Детектор OEP
  • Автообновление сигнатур
  • Поддержка плагинов
  • Детктирование искажений точки входа
  • Мощная эвристика
  • Обнаружение оверлеев
  • Обнаружение джойнеров/биндеров (склейки файлов)
  • Поддержка разных локализаций

Это обновленная версия, вышедшая 3 января. Из изменений — увеличение скорости работы, оптимизация алгоритмов, багфиксы.
Скачать RDG Packer Detector 0.6.8
Пароль на архив onthar.in
Официальный сайт: rdgsoft.8k.com

Вверх