lunes, 24 de septiembre de 2012

Almacena tu colección de malware con Malwarehouse

Scott Roberts ha publicado un sencillo script en Python para almacenar y consultar muestras de malware en una base de datos SQLite. El proceso es simple; permite el almacenamiento (indexando los metadatos básicos de las muestras) y la recuperación de sus muestras. La base de datos permite realizar búsquedas por nombre del fichero, hash MD5 o hash SHA256. 

La herramienta se llama malwarehouse y puede ser descargada aquí. Es recomendable cambiar la ruta de la base de datos ya que por defecto apunta a "~/Desktop/malwarehouse/", ruta inexistente si en nuestro sistema no tenemos X-Windows: option_base_dir = os.path.expanduser("~/malwarehouse/")

Veamos su funcionamiento básico:
  • Primero un simple menú:


  • Introducciendo una muestra de malware en la base de datos SQLite:
guy@seeker:~/malwarehouse$ ./malwarehouse.py -s zz87lhfda88.com -t PWS-LegMir.dll -n "Low detection" 1.exe
  • Resultado cuando la muestra de malware 1.exe es procesado:
guy@seeker:~/malwarehouse$ ./malwarehouse.py -s zz87lhfda88.com -t PWS-LegMir.dll -n "Low detection" 1.exe
Parsing Malware
Analysis complete. Loading.
Sample 1.exe loaded...
Loading Malware 1.exe
Creating /home/guy/malwarehouse/41f5e475e086c991873a35c58234213fc01331d655f3f39a2f1a6d2f0e0ed6b8

  • Revisando el último registro con los 3 métodos disponibles:
guy@seeker:~/malwarehouse$ ./malwarehouse.py -f 41f5e475e086c991873a35c58234213fc01331d655f3f39a2f1a6d2f0e0ed6b8
guy@seeker:~/malwarehouse$ ./malwarehouse.py -f 4f871a6b9f17c0923963e7dfc73efa58
guy@seeker:~/malwarehouse$ ./malwarehouse.py -f 1.exe



  • Consultando los últimos registros insertados en la base de datos malwarehouse:


En definitiva, si estás buscando una manera simple y efectiva para el seguimiento de tus ejemplares de malware, malwarehouse es probablemente lo que buscas...

Fuentes:
blog.thevigilant.com
https://github.com/sroberts/malwarehouse

http://isc.sans.edu/diary/14161

No hay comentarios:

Publicar un comentario