Кластеризация вредоносных программ с открытым исходным кодом: Cosa Nostra
Презентация Cosa Nostra
Скачать Cosa Nostra
Cosa Nostra — это инструментарий для кластеризации программного обеспечения с открытым исходным кодом с акцентом на анализ вредоносных программ. Он может создавать филогенетические деревья бинарных образцов вредоносных программ, которые структурно схожи. Первоначально он был выпущен во время SyScan360 Shanghai (2016).
Необходимые сторонние инструменты
Для использования Cosa Nostra вам понадобится исходный код версии, конечно же, Python 2.7, а также один из следующих инструментов для анализа кода:
- Radare2 написан на чистом C. также как и IDA, с поддержкой безумно редких CPUs и двоичных форматов. Также он идет с открытым исходным кодом!
Анализ двоичного кода
После того, как вы установили какой-либо из ранее упомянутых инструментов, вам необходимо будет использовать соответствующий пакетный инструмент для анализа образцов вредоносных программ, как в приведенном ниже примере:
$ cd $COSA_NOSTRA_DIR $ python r2_batch.py example.exe
Или
$ cd $COSA_NOSTRA_DIR $ python pyew_batch.py example.exe
Или
$ cd $COSA_NOSTRA_DIR $ /path/to/idaq -B -A -Sida_batch.py example.exe
Автоматизация анализа набора данных вредоносных программ
Самый простой способ анализа набора данных вредоносных программ — это просто запустить команду, как например, в следующем примере:
$ find /your/malware/dataset/path -type f -exec python r2_batch.py {} ';'
Это можно сделать параллельно с помощью инструмента «GNU Parallel», как в следующем примере:
$ find /your/malware/dataset/path -type f | parallel -j 8 python pyew_batch.py {}
В приведенном выше примере он будет запускать в общей сложности 8 процессов pyew_batch параллельно.
Перевод: Анна Давыдова
Источник: n0where.net
Это интересно: