Browse By

DrSemu – Ferramenta de detecção e classificação de malware baseada em comportamento dinâmico

Dr.Semuexecuta executáveis ​​em um ambiente isolado, monitora o comportamento de um processo e, com base nas Dr.Semuregras criadas por você ou pela comunidade, detecta se o processo é malicioso ou não.

whoami: @_qaz_qaz
Com Dr.Semuvocê, você pode criar regras para detectar malware com base no comportamento dinâmico de um processo.

Isolamento através do redirecionamento
Tudo acontece no modo de usuário. O Sistema de arquivos projetados do Windows (ProjFS) é usado para fornecer um virtualsistema de arquivos. Para o redirecionamento do Registro , ele clona todas as seções do Registro para um novo local e redireciona todos os acessos ao Registro.
Veja o código fonte para mais informações sobre outros redirecionamentos (isolamento de processos / objetos, etc.).

O monitoramento
Dr.Semu usa o DynamoRIO (Dynamic Instrumentation Tool Platform) para interceptar um encadeamento quando está prestes a cruzar a linha do usuário-kernel. Ele tem o mesmo efeito de conectar,SSDT mas no modo de usuário e sem conectar nada.
Nesta fase,Dr.Semuproduz um arquivo JSON, que contém informações da interceptação.

Detecção
Após o término do processo, com base nasDr.Semuregras que recebemos se o executável for detectado como malware ou não.
Regras do Dr.Semu / Detecções

Regras do Dr.Semu
Estão escritas emPythonouLUA(localizadas emdr_rules) e use informações dinâmicas da interceptação e informações estáticas sobre a amostra. É trivial adicionar suporte a outros idiomas.

Exemplo ( Python): https://gist.github.com/secrary/ac89321b8a7bde998a6e3139be49eb72
Exemplo ( Lua): https://gist.github.com/secrary/e16daf698d466136229dc417d7dbcfa3

Uso

  • Use PowerShellpara ativar ProjFSem uma PowerShelljanela elevada :

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

DrSemu.exe --target file_path
DrSemu.exe --target files_directory

DEMO

CONSTRUIR

  • Use PowerShellpara ativar ProjFSem uma PowerShelljanela elevada :

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

  •  Instale o Python 3 x64
  •  Baixe DynamoRIOe extraia na binpasta e renomeie paradynamorio
  •  Criar pe-parser-library.libbiblioteca:
    • Gere o projeto VS DrSemu\shared_libs\pe_parseusando cmake-gui
    • Crie uma biblioteca de 32 bits em build\shared_libs\pe_parse\build\pe-parser-library\Release\) e uma de 64 bits embuild64
    • Altere a opção da biblioteca de tempo de execução para Multi-threaded/MT)
  •  Definir LauncherCLIcomo projeto de inicialização

FAÇAM

  • Resolver problemas relacionados ao isolamento
  • Melhore a sincronização
  • Atualize a descrição, adicione mais detalhes
  • Crie uma GUI para a ferramenta

Limitações

  • Versão mínima suportada do Windows Windows 10:, versão 1809 (devido a Windows Projected File System)
  • Versão máxima suportada do Windows Windows 10:, versão 1809 ( DynamoRIOsuporta Windows 10versões até 1809)

DrSemu download grátis

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *