👩🔬 Noriben: портативная, простая песочница для анализа вредоносных программ |
Главная » Мануал

👩🔬 Noriben: портативная, простая песочница для анализа вредоносных программ

Мануал
На чтение 3 мин Опубликовано
Содержание
  1. Noriben Sandbox для анализа вредоносных программ
  2. Интересные функции
  3. Скачать
  4. Использование
  5. Видео

Noriben Sandbox для анализа вредоносных программ

Noriben – это скрипт на основе Python, который работает вместе с Sysinternals Procmon для автоматического сбора, анализа и составления отчетов о показателях времени выполнения вредоносных программ.

В двух словах, он позволяет запускать вредоносные программы, нажимать клавиши и получать простой текстовый отчет о действиях примера.

Noriben позволяет вам не только запускать вредоносные программы, аналогичные изолированной программной среде, но и регистрировать общесистемные события, в то время как вы вручную запускаете вредоносное ПО таким образом, чтобы оно работало.

Например, он может прослушивать, когда вы запускаете вредоносное ПО, для которого требуются различные параметры командной строки, или взаимодействие с пользователем.

Или наблюдать за системой, когда вы пересекаете вредоносное ПО в отладчике.

Для работы Noriben требуется только Sysinternals procmon.exe (или procmon64.exe).

Он не требует предварительной фильтрации (хотя это очень помогло бы), так как содержит множество элементов белого списка, чтобы уменьшить нежелательный шум от активности системы.

Интересные функции

Если у вас есть папка с файлами сигнатур YARA, вы можете указать ее с опцией –yara.

Каждый новый созданный файл будет проверяться на наличие этих сигнатур с результатами, отображаемыми в выходных результатах.

Если у вас есть VirusTotal API, поместите его в файл с именем «virustotal.api» (или вставьте непосредственно в скрипт) для автоматической отправки хешей MD5-файлов в VT, чтобы получить количество вирусных результатов.

Вы можете добавить списки MD5 для автоматического игнорирования (например, все ваши системные файлы).

Используйте md5deep и выбросьте их в текстовый файл, используйте –hash, чтобы прочитать.

Вы можете автоматизировать скрипт для использования в песочнице.

Используя -t для автоматизации времени выполнения и -cmd «путь \ exe» для указания файла вредоносного ПО, вы можете автоматически запускать вредоносное ПО, копировать результаты и затем возвращаться к запуску нового образца.

Функция –generalize автоматически заменяет абсолютные пути путями среды Windows для лучшей разработки IOC.

Например, C:\Users\malware_user\AppData\Roaming\malware.exe будет автоматически преобразован в % AppData% \ malware.exe.

Скачать

git clone https://github.com/Rurik/Noriben.git

Использование

--===[ Noriben v1.7.2
--===[ @bbaskin
usage: Noriben.py [-h] [-c CSV] [-p PML] [-f FILTER] [--hash HASH]
                  [--hashtype {MD5,SHA1,SHA256}] [--headless] [-t TIMEOUT]
                  [--output OUTPUT] [--yara YARA] [--generalize] [--cmd CMD]
                  [-d]

optional arguments:
  -h, --help            show this help message and exit
  -c CSV, --csv CSV     Re-analyze an existing Noriben CSV file
  -p PML, --pml PML     Re-analyze an existing Noriben PML file
  -f FILTER, --filter FILTER
                        Specify alternate Procmon Filter PMC
  --hash HASH           Specify hash whitelist file
  --hashtype {MD5,SHA1,SHA256}
                        Specify hash type
  --headless            Do not open results on VM after processing
  -t TIMEOUT, --timeout TIMEOUT
                        Number of seconds to collect activity
  --output OUTPUT       Folder to store output files
  --yara YARA           Folder containing YARA rules
  --generalize          Generalize file paths to their environment variables.
                        Default: True
  --cmd CMD             Command line to execute (in quotes)
  -d, --debug           Enable debugging

 

Видео

 

malware sandbox windows песочница
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий