Noriben – это скрип на основе Python, который работает совместно с Sysinternals Procmon для автоматического сбора, анализа и отчета о показаниях вредоносных программ.
В двух словах он позволяет запускать вредоносное ПО, нажать клавишу и получить простой тексInformation Security Squadтовый отчет о действиях образца.
Noriben позволяет не только запускать вредоносное ПО, аналогично песочнице, но и регистрировать общесистемные события, в то время как вы вручную запускаете вредоносное ПО.
Например, он может прослушивать при запуске вредоносного ПО, которое требует разных параметров командной строки или взаимодействия с пользователем.
Или, чтобы наблюдать за системой при прохождении вредоносного ПО в отладчике.
Для работы Noriben требуется только Sysinternals procmon.exe (или procmon64.exe).
Он не требует предварительной фильтрации (хотя это очень поможет).
Этот скрипт позволяет автоматизировать выполнение Noriben в гостевой виртуальной машине и получать отчеты.
VM и моментальный снимок, копирование вредоносного ПО на виртуальную машину, запуск Noriben и вредоносного ПО, ожидание периода времени, копирование результатов на хост, в настоящее время выполняется на OSX как ZIP, и захват экрана виртуальной машины.
Вы даже можете использовать –update для автоматической копии новейшего Noriben с вашего хоста, поэтому вам не нужно делать какие-либо новые снэпшоты при изменении скрипта.
Демо:
Использование:
--===[ Noriben v1.7.2 --===[ @bbaskin usage: Noriben.py [-h] [-c CSV] [-p PML] [-f FILTER] [--hash HASH] [--hashtype {MD5,SHA1,SHA256}] [--headless] [-t TIMEOUT] [--output OUTPUT] [--yara YARA] [--generalize] [--cmd CMD] [-d] optional arguments: -h, --help show this help message and exit -c CSV, --csv CSV Re-analyze an existing Noriben CSV file -p PML, --pml PML Re-analyze an existing Noriben PML file -f FILTER, --filter FILTER Specify alternate Procmon Filter PMC --hash HASH Specify hash whitelist file --hashtype {MD5,SHA1,SHA256} Specify hash type --headless Do not open results on VM after processing -t TIMEOUT, --timeout TIMEOUT Number of seconds to collect activity --output OUTPUT Folder to store output files --yara YARA Folder containing YARA rules --generalize Generalize file paths to their environment variables. Default: True --cmd CMD Command line to execute (in quotes) -d, --debug Enable debugging