malware-penjara: sandbox untuk analisis malware semi-otomatis Javascript

Oleh chmood

Minggu, Januari 31, 2016 Selasa, Maret 07, 2017

malware-penjara: sandbox untuk analisis malware semi-otomatis Javascript dan ekstraksi payload.

malware-penjara: sandbox untuk analisis malware semi-otomatis Javascript dan ekstraksi payload.

.Sandbox Untuk analisis malware semi-otomatis Javascript dan ekstraksi payload. Ditulis untuk Node.js

malware-penjara ini ditulis untuk Node ini 'vm' sandbox. Saat mengimplementasikan WScript (Windows Scripting Host) konteks env / wscript.js, setidaknya bagian yang sering digunakan oleh malware. Konteks internet browser yang partialy dilaksanakan env / browser.js. Berjalan pada sistem operasi, diuji pada All Distro Linux dengan (Node v4.2.1).

Malware Sandbox ver.0.3

Versi terbaru 0.3 30/1/2016:
+ Peningkatan intersepsi sifat Browser
+ Ditambahkan lebih bagian naskah Angler, beberapa fungsi browser yang lebih
+ Config.json: Peningkatan konteks web, menambahkan sampel Angler EK.

Peringatan:

Hati-hati saat bekerja dengan malware yang nyata. Malware, yang menyadari sandbox ini mungkin mencoba untuk melarikan diri dan membahayakan PC Anda. Ini direkomendasikan Anda menjalankannya baik dari akun Linux unpriviledged atau dari dalam virtualisasi Windows.

Malware berbasis internet browser Anda dapat menguji dengan:

misalnya Browser.js

Malware / example.js adalah file malware standar dikonfigurasi dalam config.json.
Setelah analisis konteks sandbox lengkap dibuang ke file 'sandbox_dump_after.json'. Di sana Anda dapat menemukan:
+ _eval_calls - Array dari semua eval () panggilan argumen. Berguna jika eval () digunakan untuk deobfucation.
+ _wscript_saved_files - Isi semua file yang malware berusaha untuk menjatuhkan. File yang sebenarnya disimpan ke output / direktori juga.
+ _wscript_urls - Semua URL yang malware dimaksudkan untuk GET atau POST.
+ _wscript_objects - WScript atau benda ActiveX dibuat.
+ _'sandbox_dump_after.json 'Menggunakan JSONPath, dilaksanakan oleh JSON-js / cycle.js, untuk menyimpan digandakan atau siklik referensi ke objek yang sama.

Pemakaian:

makesure node.js telah diinstal pada komputer Anda
git clone https://github.com/HynekPetrak/malware-jail && cd malware-penjara
NPM menginstal entitas XMLHttpRequest minimist

perintah:
jailme.js simpul -h
simpul jailme.js malware / example.js

Memperbarui:
cd malware-penjara
git pull origin master

Source : https://github.com/HynekPetrak

Category

Virus

Komentar

Postingan Lebih Baru Postingan Lama