Noriben – это скрип на основе Python, который работает совместно с Sysinternals Procmon для автоматического сбора, анализа и отчета о показаниях вредоносных программ.
В двух словах он позволяет запускать вредоносное ПО, нажать клавишу и получить простой тексInformation Security Squadтовый отчет о действиях образца.
Noriben позволяет не только запускать вредоносное ПО, аналогично песочнице, но и регистрировать общесистемные события, в то время как вы вручную запускаете вредоносное ПО.
Например, он может прослушивать при запуске вредоносного ПО, которое требует разных параметров командной строки или взаимодействия с пользователем.
Или, чтобы наблюдать за системой при прохождении вредоносного ПО в отладчике.
Для работы Noriben требуется только Sysinternals procmon.exe (или procmon64.exe).
Он не требует предварительной фильтрации (хотя это очень поможет).
Этот скрипт позволяет автоматизировать выполнение Noriben в гостевой виртуальной машине и получать отчеты.
VM и моментальный снимок, копирование вредоносного ПО на виртуальную машину, запуск Noriben и вредоносного ПО, ожидание периода времени, копирование результатов на хост, в настоящее время выполняется на OSX как ZIP, и захват экрана виртуальной машины.
Вы даже можете использовать –update для автоматической копии новейшего Noriben с вашего хоста, поэтому вам не нужно делать какие-либо новые снэпшоты при изменении скрипта.
Демо:
Использование:
--===[ Noriben v1.7.2
--===[ @bbaskin
usage: Noriben.py [-h] [-c CSV] [-p PML] [-f FILTER] [--hash HASH]
[--hashtype {MD5,SHA1,SHA256}] [--headless] [-t TIMEOUT]
[--output OUTPUT] [--yara YARA] [--generalize] [--cmd CMD]
[-d]
optional arguments:
-h, --help show this help message and exit
-c CSV, --csv CSV Re-analyze an existing Noriben CSV file
-p PML, --pml PML Re-analyze an existing Noriben PML file
-f FILTER, --filter FILTER
Specify alternate Procmon Filter PMC
--hash HASH Specify hash whitelist file
--hashtype {MD5,SHA1,SHA256}
Specify hash type
--headless Do not open results on VM after processing
-t TIMEOUT, --timeout TIMEOUT
Number of seconds to collect activity
--output OUTPUT Folder to store output files
--yara YARA Folder containing YARA rules
--generalize Generalize file paths to their environment variables.
Default: True
--cmd CMD Command line to execute (in quotes)
-d, --debug Enable debugging
