Browse By

Malheur – Ferramenta de análise automática de malware

O Malheur é uma ferramenta automática de análise de malware para a análise automática do comportamento do malware (comportamento do programa registrado a partir de software malicioso em um ambiente sandbox). Ele foi projetado para suportar a análise regular de software malicioso e o desenvolvimento de medidas de detecção e defesa. Malheur permite identificar novas classes de malware com comportamento semelhante e atribuir malware desconhecido às classes descobertas.

Malheur - Ferramenta de análise automática de malware

Como funciona

Malheur baseia-se no conceito de análise dinâmica: os binários de malware são coletados na natureza e executados em uma sandbox, onde seu comportamento é monitorado durante o tempo de execução. A execução de cada binário de malware resulta em um relatório de comportamento registrado. Malheur analisa esses relatórios para descobrir e discriminar classes de malware usando o aprendizado de máquina.

O Malheur pode ser aplicado ao comportamento gravado de vários formatos, desde que os eventos monitorados sejam separados por símbolos delimitadores, por exemplo, nos relatórios gerados pelas populares caixas de proteção de malware CWSandbox, Anubis, Norman Sandbox e Joebox.

Recursos

Ele suporta quatro ações básicas para análise que podem ser aplicadas a relatórios de comportamento registrado:

  • Extração de protótipos: a partir de um determinado conjunto de relatórios, o malheur identifica um subconjunto de protótipos representativos para o conjunto de dados completo. Os protótipos fornecem uma visão geral rápida do comportamento registrado e podem ser usados ​​para orientar a inspeção manual.
  • Cluster de comportamento: Malheur identifica automaticamente grupos (clusters) de relatórios que contêm comportamento semelhante. O armazenamento em cluster permite descobrir novas classes de malware e fornece a base para criar mecanismos específicos de detecção e defesa, como assinaturas de antivírus.
  • Classificação de comportamento: com base em um conjunto de relatórios agrupados anteriormente, o malheur pode atribuir um comportamento desconhecido a grupos conhecidos de malware. A classificação permite identificar variantes novas e desconhecidas de malware e pode ser usada para filtrar o comportamento do programa antes da inspeção manual.
  • Análise incremental: Malheur pode ser aplicado incrementalmente para análise de grandes conjuntos de dados. Ao processar relatórios em blocos, o tempo de execução e os requisitos de memória podem ser significativamente reduzidos. Isso torna viável a aplicação a longo prazo do malheur, por exemplo, para análises diárias dos programas de malware recebidos.

Você pode fazer o download do Malheur 0.5.4 aqui:

malheur-0.5.4.zip

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.