¿Cómo hacer un análisis de malware con Malheur?

Share this…

Malheur es una herramienta para el análisis automático del comportamiento del malware (comportamiento grabado del malware en un entorno de sandbox). Ha sido diseñado para apoyar el análisis periódico de un software malicioso y el desarrollo de las medidas de detección y de defensa por expertos de ethical hacking. Malheur permite la identificación de nuevas clases de malware con un comportamiento similar y la asignación de malware desconocido a las clases descubiertas y es parte del curso de Malware Reverse Engineering de iicyberecurity IICS.

Análisis del comportamiento del malware?

Malheur se basa en el concepto de análisis dinámico: los binarios de malware son recogidos desde internet  y se ejecutan en un entorno de sandbox, donde se controla su comportamiento durante el tiempo de ejecución. La ejecución de cada uno de los resultados binarios de malware se registra en un informe de comportamiento. Según consultores de ethcial hacking,  Malheur analiza estos informes para el descubrimiento y la discriminación de las clases de malware utilizando inteligencia artificial con Malware Reverse Engineering.

Malheur se puede aplicar a la conducta registrada por varios formatos, siempre y cuando los sucesos supervisados sean separados por símbolos delimitadores, por ejemplo como en los informes generados por los populares malware sandboxes CWSandbox, Anubis, Norman SandBox y Joebox.

 

malheur-malware

Extracción de prototipos. A partir de un determinado conjunto de informes, Malheur identifica un subconjunto de prototipos representativos para el grupo de datos completos. Los prototipos proporcionan una visión general del comportamiento registrado y pueden ser utilizados para guiar Malware Reverse Engineering manual.

La agrupación de comportamiento. Malheur identifica automáticamente los grupos (clusters) de informes que contienen un comportamiento similar. La agrupación permite descubrir nuevas clases de malware y proporciona las bases para la elaboración de mecanismos de detección y defensas específicas, como las firmas de los antivirus explican Kim Denver, un experto de Malware Reverse Engineering y Ethical hacking.

Clasificación del comportamiento. Sobre la base de un conjunto de informes previamente agrupados, Malheur es capaz de asignar un comportamiento desconocido para grupos conocidos de malware. La clasificación permite la identificación de nuevas variantes de malware y se puede utilizar por los profesionales de ethical hacking para filtrar el comportamiento del programa antes de la inspección manual.

El análisis incremental. Malheur se puede aplicar de forma incremental para el análisis de grandes conjuntos de datos. Mediante el procesamiento de informes en trozos, los requisitos de tiempo de ejecución y la memoria se reducen significativamente. Esto convierte la aplicación a largo plazo viable, por ejemplo, para el análisis diario de malware durante procesos de Malware Reverse Engineering.

La entrada de malheur es un dataset que contiene los informes de comportamiento del malware. El conjunto de datos se proporciona ya sea como un directorio o un archivo comprimido que contiene los informes.Malheur soporta los siguientes formatos de archivos comprimidos: tar.gz, zip, pax y cpio. Un informe es un documento de texto que describe la actividad registrada de un programa de malware, donde los eventos individuales están separados por caracteres delimitadores, como el espacio en blanco o transporte de regreso. Se espera que los eventos en un informe estén en orden secuencial. Si el comportamiento se representa usando malware instruction set (MIST) otras opciones podrán ser seleccionadas. Cualquier curso de Malware Reverse Engineering o ethical hacking debe cubrir MIST en el curso. El resultado de un análisis se escribe en un archivo, un archivo de texto que contiene las columnas correspondientes con determinados resultados del análisis. De forma predeterminada se establecen en un archive que se llama malheur.out.

La configuración y el estado interno de malheur están almacenados en el directorio maldir. Si no existe este directorio, se crea y la configuración de todo el sistema se copia. Malheur apoya diferentes acciones para el análisis de un conjunto de datos según expertos de ethical hacking. Para todas las acciones de los informes se asignan primero a un espacio de vectores de altas dimensiones, de tal manera que cada informe se representa como un vector característico.