Scott Roberts ha publicado un sencillo script en Python para almacenar y consultar muestras de malware en una base de datos SQLite. El proceso es simple; permite el almacenamiento (indexando los metadatos básicos de las muestras) y la recuperación de sus muestras. La base de datos permite realizar búsquedas por nombre del fichero, hash MD5 o hash SHA256.
La herramienta se llama malwarehouse y puede ser descargada aquí. Es recomendable cambiar la ruta de la base de datos ya que por defecto apunta a "~/Desktop/malwarehouse/", ruta inexistente si en nuestro sistema no tenemos X-Windows: option_base_dir = os.path.expanduser("~/malwarehouse/")
Veamos su funcionamiento básico:
- Primero un simple menú:
- Introducciendo una muestra de malware en la base de datos SQLite:
- Resultado cuando la muestra de malware 1.exe es procesado:
Parsing Malware
Analysis complete. Loading.
Sample 1.exe loaded...
Loading Malware 1.exe
Creating /home/guy/malwarehouse/41f5e475e086c991873a35c58234213fc01331d655f3f39a2f1a6d2f0e0ed6b8
- Revisando el último registro con los 3 métodos disponibles:
guy@seeker:~/malwarehouse$ ./malwarehouse.py -f 4f871a6b9f17c0923963e7dfc73efa58
guy@seeker:~/malwarehouse$ ./malwarehouse.py -f 1.exe
- Consultando los últimos registros insertados en la base de datos malwarehouse:
En definitiva, si estás buscando una manera simple y efectiva para el seguimiento de tus ejemplares de malware, malwarehouse es probablemente lo que buscas...
Fuentes:
blog.thevigilant.com
https://github.com/sroberts/malwarehouse
http://isc.sans.edu/diary/14161
No hay comentarios:
Publicar un comentario