Entorno Sandbox portátil para análisis de malware.
 |
Noriben es un script basado en Python que funciona en conjunto con Sysinternals Procmon para recopilar automáticamente, analizar e informar sobre los indicadores en tiempo de ejecución de malware. En pocas palabras, permite ejecutar el software malicioso y obtener un informe de texto simple con las actividades de la muestra de malware.
Noriben es una solución ideal para muchos casos de malware poco convencional, que no funcionarían dentro de un entorno de pruebas estándar. Estos casos pueden ser debidos a: que se requiera argumentos de línea de
comandos, que posea detección de ejecución en maquina virtual o posea ciclos muy largos en su ejecución. Estos problemas se resuelven con Noriben ya que anula todas las comprobaciones anti-análisis. Si el malware tiene una actividad que cambia con el día, sólo hay que poner en marcha Noriben y el malware durante un largo fin de semana y procesar los resultados.
Noriben sólo requiere procmon.exe de Sysinternals. Opcionalmente Procmon permite configurar el entorno de la visualización, con el fin de filtrar el ruido de la actividad benigna del malware. Alternativamente, el filtrado dentro de Procmon puede mantenerse y en su lugar se puede colocar numerosos filtros dentro de Noriben para filtrar el ruido. Lo mas recomendable es usar un filtro moderado dentro de Procmon y el resto filtrarlo desde Noriben, lo que permite analizar rápidamente malware específico que le gusta imitar los servicios benignos del sistema.
Basta con ejecutar Noriben y esperar a que el programa de instalación ejecute el software malicioso en otra ventana. Cuando el malware ha llegado a un punto de la actividad necesaria para el análisis, se detiene Noriben pulsando Ctrl-C. Noriben se detendrá y reunirá todos los datos procesando un informe. A continuación, generara tres archivos con un sellado de tiempo: una base de datos Procmon PML, un documento de texto CSV y un archivo de texto TXT. Los archivos CSV y PML constituyen la principal fuente de actividad y el archivo TXT el informe final. Si se encuentran demasiados falsos positivos en el informe. Sólo hay que eliminar el archivo TXT, añadir mas filtros directamente en Noriben y volver a ejecutarlo con la opción «-r <nombre de archivo>.csv» para volver a ejecutar el análisis de la CSV.
Más información y descarga de Noriben:
https://github.com/Rurik/Noriben
