marzo 29, 2024

Herramienta para la evaluación automatizada de malware

0
Voiced by Amazon Polly
Comparte en redes sociales

FAME es una herramienta automatizada para la evaluación de malware. Está destinado a facilitar el análisis de archivos maliciosos, aprovechando la mayor cantidad de conocimiento posible para acelerar y automatizar el análisis de extremo a extremo.

El mejor de los casos: el analista descarta una muestra, espera unos minutos y FAME puede determinar la familia de malware y extraer su configuración e IOC. FAME debe verse como un marco que potenciará sus esfuerzos de desarrollo de análisis de malware. Se creó para facilitar el análisis de malware mediante la automatización de tantas tareas como sea posible.

El verdadero trabajo del análisis de malware se realiza procesando módulos. FAME hará todo lo posible para determinar qué módulos de procesamiento deben ejecutarse durante cada análisis, y encadenará la ejecución de los módulos para lograr un análisis de extremo a extremo.

Cada módulo de procesamiento puede producir los siguientes elementos de análisis:

  • Nombre probable : esta es la familia de malware. Un módulo solo debe establecer el nombre probable si tiene una confianza muy alta en su diagnóstico.
  • Extracciones : esta es información de texto que debería ser la más útil para el analista. Un ejemplo típico sería la configuración de malware.
  • Etiquetas : una etiqueta es una información para computadora que describe el análisis. Se puede ver como una forma de nombre de firma.
  • Archivos generados : archivos producidos por el análisis, como volcados de memoria.
  • Archivos de soporte : archivos que el analista puede descargar, como un informe de análisis de sandbox.
  • Archivos extraídos : archivos que merecen un análisis propio.
  • COI : indicadores de compromiso que podrían usarse para detectar este malware.
  • Resultados detallados : cualquier tipo de información que sería útil para el analista.

Al analizar un archivo, el primer paso es determinar el tipo de archivo. FAME intentará determinar el tipo de archivo en función de la extensión del archivo y python-magic . Un tipo de archivo específico de FAME se asociará al archivo usando diferentes indicadores (ejemplos: «ejecutable», «word», «pdf», etc.).

Luego, el analista debe elegir entre dos tipos de análisis: Just Do Your Magic (recomendado) o análisis dirigido .

Just Do Your Magic.

En este modo de operación, FAME comenzará ejecutando cada módulo de procesamiento genérico que sepa cómo manejar el tipo de archivo determinado previamente. Los módulos genéricos son módulos que siempre son interesantes de ejecutar en un tipo de archivo determinado. Por ejemplo, poner el archivo en un sandbox.

La ejecución de estos módulos posiblemente desencadenará la ejecución de otros módulos. Hay varias razones por las que esto podría suceder:

  • El módulo de procesamiento generó nuevos archivos (por ejemplo, un volcado de memoria). En este caso, se ejecutarán todos los módulos de procesamiento genéricos que pueden aplicarse en volcados de memoria.
  • El módulo de procesamiento generó algunas etiquetas. Las etiquetas pueden verse como una forma de firmas. Controlan el encadenamiento de ejecución de los módulos. Por ejemplo, la etiqueta cuckoo [dridex] podría generarse si cuckoo cree que la muestra es una muestra de Dridex. El módulo específico dridex sería ejecutado ya que es activado por cualquier etiqueta que contenga la palabra dridex .

El análisis finaliza cuando no hay más módulos de procesamiento para ejecutar.

Análisis dirigido.

Cuando se utiliza el análisis dirigido, el analista solicita un módulo de procesamiento específico para ejecutar en el archivo.

En este caso, tenemos que diferenciar entre dos escenarios:

  • Si el módulo de destino es directamente aplicable al tipo de archivo determinado previamente, se ejecuta.
  • De lo contrario, FAME intentará encontrar una ruta de ejecución adecuada para satisfacer la demanda del analista. Por ejemplo, si el analista solicitó el módulo dridex , que actúa en los volcados de memoria , pero el archivo analizado es un ejecutable , FAME primero ejecutará el módulo cuco , que toma un ejecutable y produce un volcado de memoria .

Diferentes tipos de módulos.

FAME se basa en módulos para agregar funcionalidad. Los módulos son en realidad clases de Python que heredan de la clase fame.core.module.Module .

Se pueden crear varios tipos de módulos:

  • ProcessingModule : aquí es donde está la magia de FAME. Un ProcessingModule debe definir algunos análisis automatizados que se pueden realizar en algunos tipos de archivos / información de análisis.
  • ReportingModule : este tipo de módulo habilita las opciones de informes, como enviar los resultados del análisis por correo electrónico o publicar una notificación de Slack cuando finaliza el análisis.
  • ThreatIntelligenceModule : este tipo de módulos actúa sobre los COI. ThreatIntelligenceModule tiene dos roles:
    • Enriquezca el análisis, agregando información de Inteligencia de amenazas en los IOC cuando se agreguen al análisis.
    • Enriquezca la plataforma de inteligencia de amenazas con IOC extraídos por FAME.
  • AntivirusModule : módulos que actúan sobre archivos y los envían a proveedores de antivirus.

Arquitectura.

FAME se basa en tres componentes:

  • Una base de datos MongoDB, que almacena todo y sirve como enlace entre otros componentes.
  • Un servidor web que sirve la aplicación web y expone servicios internos.
  • Cualquier número de estaciones de trabajo (al menos 1), que realizan las tareas de análisis reales.

Todos los componentes pueden estar en el mismo servidor o dividirse en varios servidores. El servidor web es donde se ejecutan los módulos antivirus y los módulos de inteligencia de amenazas. Todo lo demás (módulos de procesamiento, módulos de informes y búsquedas de módulos de inteligencia) se ejecuta en estaciones de trabajo.

Más información y descarga FAME:

https://github.com/certsocietegenerale/fame

Deja un comentario