Mastiff, automatizando el análisis de malware
Nov18

Mastiff, automatizando el análisis de malware

Hoy en día con la cantidad de malware que sale, es imposible poder analizar todas las muestras. Solamente analizando las muestras que desinteresadamente investigadores colocan para que te las puedas bajar de forma pública es complicado estar al día. Si a eso le sumas, el echo de tener sensores por ahí montados para analizar mas malware se te hace un trabajo bastante tedioso. Dependiendo de a la finalidad  a la que te dediques el ámbito con el que se abordará esta ardua tarea será una y otra. Mastiff es una herramienta que nos puede ayudar en el análisis masivo de muestras. Antes de empezar a jugar con él os voy a pedir que lo uséis en la distribución Remnux, puesto que ya viene instalado. Una vez que tengáis la distribución bajada deberemos primero de actualizar el script de Mastiff. Para ello hacemos: <pre>wget http://remnux.org/mastiff-upgrade.zip unzip mastiff-upgrade.zip cd mastiff-upgrade sudo ./upgrade_mastiff.sh cd .. rm -rf mastiff-upgrade mastiff-upgrade.zip</pre> El output que deberíamos de recibir por consola es: [email protected]:~/mastiff-upgrade# ./upgrade_mastiff.sh Removing old version of MASTIFF Done Installing pydeep pydeep install successful. Done Installing MASTIFF 0.6.0 Testing installation. Checking Python imports in /root/mastiff-upgrade/mastiff-0.6.0 and below. Done checking imports. Checking for MASTIFF functionality. Testing EXE: Success. Testing Office: Success. Testing PDF: Success. Testing ZIP: Success. Done checking MASTIFF functionality. Installing. mastiff install successful. Copying plugins. Copying configuration file to /usr/local/etc Done Complete. You can run mastiff using: mas.py -c /usr/local/etc/mastiff.conf [YOUR FILE] Sencillo ¿verdad? Ahora lo que haremos será echar un vistazo al fichero de configuración: Colocamos la API key y ya podemos usar Mastiff Ejecutamos Mastiff y vamos a ver el output que genera: [email protected]:/home/remnux# mas.py -c /usr/local/etc/mastiff.conf /media/sf_Downloads/malware/ [2013-11-18 12:57:30,824] [WARNING] [Mastiff] : You are running MASTIFF as ROOT! This may be DANGEROUS! [2013-11-18 12:57:30,891] [INFO] [Mastiff] : Adding directory /media/sf_Downloads/malware/ to queue. [2013-11-18 12:57:30,909] [INFO] [Mastiff.analyze] : Starting analysis on /media/sf_Downloads/malware/0bde4b8e18ea2ee8ad0166fac82d6eaf [2013-11-18 12:57:30,967] [INFO] [Mastiff.Init_File] : Analyzing /media/sf_Downloads/malware/0bde4b8e18ea2ee8ad0166fac82d6eaf. [2013-11-18 12:57:30,967] [INFO] [Mastiff.Init_File] : Log Directory: /var/log/mastiff/0bde4b8e18ea2ee8ad0166fac82d6eaf [2013-11-18 12:57:31,079] [INFO] [Mastiff.DB.Insert] : Adding ['ZIP', 'Generic'] [2013-11-18 12:57:31,081] [INFO] [Mastiff.Analysis] : File categories are ['ZIP', 'Generic']. [2013-11-18 12:57:31,082] [INFO] [Mastiff.Plugins.ZipExtract] : Starting execution. [2013-11-18 12:57:31,085] [INFO] [Mastiff.Plugins.ZipExtract] : Password "infected" will be used for this zip. [2013-11-18 12:57:31,086] [INFO] [Mastiff.Plugins.ZipExtract] : Extracting efax_9057733019_pdf.scr. [2013-11-18 12:57:31,093] [INFO] [Mastiff.Plugins.ZipExtract] : Adding efax_9057733019_pdf.scr to queue. [2013-11-18 12:57:31,095] [INFO] [Mastiff.Plugins.ZipInfo] : Starting execution. [2013-11-18 12:57:31,099] [INFO] [Mastiff.Plugins.Fuzzy Hashing] : Starting execution. [2013-11-18 12:57:31,099] [INFO] [Mastiff.Plugins.Fuzzy Hashing] : Generating fuzzy hash. [2013-11-18 12:57:31,115] [INFO] [Mastiff.Plugins.Fuzzy Hashing.compare] : Comparing fuzzy hashes. [2013-11-18 12:57:31,116] [INFO] [Mastiff.Plugins.yara] : Starting execution. [2013-11-18 12:57:31,137] [INFO] [Mastiff.Plugins.File Information] : Starting execution. [2013-11-18 12:57:31,147] [INFO] [Mastiff.Plugins.Embedded Strings Plugin] : Starting execution. [2013-11-18 12:57:31,184] [INFO] [Mastiff.Plugins.VirusTotal]...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES