Cape Sandox
CAPE – это прежде всего песочница.
Она создана на основе Cuckoo и предназначена для автоматизации процесса анализа вредоносных программ с целью извлечения полезных данных и конфигурации из вредоносных программ.
Это позволяет CAPE обнаруживать вредоносные программы на основе сигнатур полезной нагрузки, а также автоматизировать многие из целей обратного проектирования вредоносных программ и анализа угроз.
CAPE может обнаруживать ряд вредоносных методов или поведений, а также определенные семейства вредоносных программ, начиная с его первоначального запуска на образце.
Это обнаружение может затем выполнить дальнейший запуск с конкретным пакетом, чтобы извлечь полезную нагрузку вредоносного ПО и, возможно, его конфигурацию для дальнейшего анализа.
CAPE работает, контролируя вредоносные программы с помощью специального отладчика и API-хуков.
Функция обнаружения пакета CAPE может быть основано на сигнатурах API или Yara.
Отладчик использует сигнатуры Yara или хуки API, чтобы можно было устанавливать точки останов для отдельных инструкций, областей памяти или вызовов функций.
Как только область интереса достигнута, ее можно манипулировать и воссоздавать для обработки и, возможно, анализа конфигурации.
Методы или поведения, которые CAPE обнаруживает и имеет пакеты для них, включают:
- Инъекция процесса
- Инъекция Shellcode
- DLL инъекция
- Процесс Hollowing
- Процесс двойного сопоставления
- Распаковка исполняемых модулей в память
- Извлечение исполняемых модулей или шеллкода в память
Пакеты для таких видов поведения будут сбрасывать полезные данные, которые вводятся, извлекаются или распаковываются для дальнейшего анализа.
Часто это вредоносная программа в распакованном виде.
CAPE автоматически создает дамп для каждого процесса или, в случае DLL, образ модуля DLL в памяти.
Это полезно для образцов, упакованных с помощью простых упаковщиков, где часто дамп образа модуля полностью распаковывается.
Сигнатуры Yara могут сработать в дампах процесса, что может привести к отправке определенного пакета или анализ конфигурации.
CAPE также имеет в своем арсенале пакет, который может динамически распаковывать образцы, использующие «взломанный» (модифицированный) UPX, очень популярный среди авторов вредоносных программ.
Эти образцы запускаются в отладчике CAPE до их OEP (исходной точки входа), после чего они выгружаются, фиксируются и их импорт автоматически восстанавливается, готовые к анализу.
В настоящее время в CAPE имеются специальные конфигурации для дампов пакетов и полезных данных для следующих семейств вредоносных программ:
- PlugX
- EvilGrab
- Sedreco
- Cerber
- TrickBot
- Hancitor
- Ursnif
- QakBot
CAPE имеет конфигурационные парсеры / декодеры для следующих семейств вредоносных программ, полезные данные которых автоматически извлекаются поведенческим пакетом:
- Emotet
- RedLeaf
- ChChes
- HttpBrowser
- Enfal
- PoisonIvy
- Screech
- TSCookie
- Dridex
- SmokeLoader
Многие другие семейства вредоносных программ извлекают свои полезные нагрузки автоматически с помощью поведенческих пакетов, для которых CAPE использует сигнатуры Yara для обнаружения полезных нагрузок.
Этот список растет и включает в себя:
- Azorult, Formbook, Ryuk, Hermes, Shade, Remcos, Ramnit, Gootkit, QtBot, ZeroT, WanaCry, NetTraveler, Locky, BadRabbit, Magniber, Redsip, Kronos, PetrWrap, Kovter, Azer, Petya, Dreambot, Atlas, NanoLocker, Mole, Codoso, Cryptoshield, Loki, Jaff, IcedID, Scarab, Cutlet, RokRat, OlympicDestroyer, Gandcrab, Fareit, ZeusPanda, AgentTesla, Imminent, Arkei, Sorgu, tRat, T5000, TClient, TreasureHunter.
