AMIRA: Αυτόματη ανάλυση κακόβουλου λογισμικού

Το AMIRA είναι μια υπηρεσία για αυτόματη  ανάλυση στα αρχεία OSXCollector. Η αυτοματοποιημένη ανάλυση πραγματοποιείται μέσω φίλτρων εξόδου OSXCollector.

Πιο συγκεκριμένα, με το One Filter to Rule Them All. Το AMIRA φροντίζει να ανακτήσει τα αρχεία εξόδου από ένα bucket S3, να εκτελέσει το φίλτρο ανάλυσης και στη συνέχεια, να ανεβάσει τα αποτελέσματα της ανάλυσης πίσω στο S3.

Αρχιτεκτονική

Η υπηρεσία χρησιμοποιεί τις ειδοποιήσεις συμβάντων του S3 bucket, για να ενεργοποιήσει την ανάλυση. Θα χρειαστεί να διαμορφώσετε ένα S3 bucket για τα αρχεία εξόδου OSXCollector, έτσι ώστε όταν προστίθεται ένα αρχείο εκεί, η ειδοποίηση θα σταλεί σε μια σειρά SQS (AmiraS3EventNotifications στην παρακάτω εικόνα).

Το AMIRA ελέγχει περιοδικά την σειρά για τυχόν νέα μηνύματα και κατά τη λήψη του θα πάρει το αρχείο εξόδου OSXCollector από τον S3 bucket. Στη συνέχεια θα εκτελέσει το φίλτρο ανάλυσης στο ανακτημένο αρχείο.

Το φίλτρο ανάλυσης εκτελεί διαδοχικά όλα τα φίλτρα που περιέχονται στο πακέτο φίλτρων εξόδου OSXCollector. Ορισμένα από αυτά επικοινωνούν με εξωτερικούς πόρους, όπως τα hashes και χρησιμοποιούν μηχανές απειλών Intel API, π.χ. VirusTotal, OpenDNS Investigate ή ShadowServer.

Η αρχική έξοδος του OSXCollector επεκτείνεται με όλες αυτές τις πληροφορίες και το τελευταίο φίλτρο που εκτελείται από το φίλτρο ανάλυσης, συνοψίζει όλα τα ευρήματα σε μορφή αναγνώσιμη από τον άνθρωπο. Αφού ολοκληρωθεί η εκτέλεση του φίλτρου, τα αποτελέσματα της ανάλυσης θα φορτωθούν στον S3 bucket ανάλυσης αποτελεσμάτων

Πληροφορίες σχετικά με την εγκατάσταση αλλά και με τη χρήση του προγράμματος, θα βρείτε εδώ.