Το Saferwall είναι μια πλατφόρμα ανάλυσης κακόβουλου λογισμικού ανοιχτού κώδικα.
Στοχεύει στους ακόλουθους στόχους:
- Κοινή χρήση δειγμάτων μεταξύ ερευνητών κακόβουλου λογισμικού.
- Λειτουργεί ως ειδικός στο σύστημα, για να βοηθήσει τους ερευνητές να δημιουργήσουν μια αυτοματοποιημένη αναφορά ανάλυσης κακόβουλου λογισμικού.
- Hunting πλατφόρμα για την εύρεση νέων κακόβουλων λογισμικών.
- Διασφάλιση ποιότητας για signature πριν από την κυκλοφορία.
Χαρακτηριστικά
- Στατική Ανάλυση:
- Crypto hashes, packer identification
- Strings extraction
- Πολλαπλούς AV scanners με ενσωματωμένα antivirus vendors:
Εγκατάσταση
- git clone https://github.com/saferwall/saferwall
- sudo apt-get install build-essential.
- Μετονομάζουμε το example.env σε .env
- make saferwall.
- Επεξεργαζόμαστε τα deployments/values.yaml ανάλογα με τις ανάγκες μας.
- Τα αρχεία καταγραφής βρίσκονται στο elasticsearch όπως θα βλέπουμε παρακάτω:
Τρέχουσα αρχιτεκτονική / Workflow:
Εδώ είναι μια βασική ροή εργασίας που συμβαίνει κατά τη σάρωση ενός αρχείου:
- Το frontend επικοινωνεί στο backend μέσω REST APIs.
- Το Backend ανεβάζει samples στον χώρο αποθήκευσης των objects.
- Το Backend στέλνει μηνύματα στην ουρά σάρωσης.
- Ο καταναλωτής παίρνει το αρχείο και το αντιγράφει στο κοινόχρηστο nfs αποφεύγοντας να τραβήξει το δείγμα σε κάθε κοντέινερ.
- Οι καταναλωτές καλούν υπηρεσίες σάρωσης ασύγχρονα (όπως σαρωτές AV) μέσω κλήσεων gRPC και περιμένουν τα αποτελέσματα.
Στιγμιότυπα εφαρμογής
Μπορείτε να βρείτε το πρόγραμμα εδώ.