O ofuscamento da linha de comando provou ser um fator não desprezível em malware sem arquivo ou em agentes maliciosos que estão “vivendo da terra”. Para contornar a detecção baseada em assinatura, técnicas de obscurecimento dedicadas são mostradas para serem usadas por penetrações de equipes vermelhas e até mesmo atividades de APT. Enquanto isso, vários obfuscators (ou seja, ferramentas que executam a transformação de sintaxe) são de código aberto, tornando ofuscantes os comandos dados cada vez mais fáceis.No entanto, o número de defesas adequadas ainda é pequeno. Para a ofuscação da linha de comando do Linux , quase não conseguimos encontrar nenhuma ferramenta de detecção. No que diz respeito às defesas contra a ofuscação de comandos do Windows, os esquemas existentes resultam em falta de ferramentas ou solucionam apenas parcialmente todo o problema, às vezes de forma imprecisa.Para facilitar melhor a detecção de ofuscação, propusemos o Flerken, uma plataforma de ferramentas que pode ser usada para detectar comandos do Windows (CMD e Powershell) e do Linux (Bash) . O nome de Flerken é inspirado por uma criatura extremamente poderosa do mundo da Marvel. O Flerken é construído com base na coleta cuidadosa de amostras em preto / branco e pode ser dividido em dois sub-esquemas, ou seja, o Kindle (detector de ofuscação do Windows) e o Octopus (detector de ofuscação do Linux). Para ajudar a otimizar o desempenho de classificação da Flerken, adotamos técnicas como aprendizado de máquina, anel de filtro de recurso bidirecional, sandbox de script.
Documentação
Para uma descrição detalhada do Flerken, por favor reveja nosso documento de especificação aqui .
Começo rápido
- Instalação
Etapa 1: Certifique-se de ter instalado o python 3.x em seu servidor, você pode usar o seguinte comando para verificar isso.[root@server:~$] python -V
Etapa 2: Instale os componentes necessários, todos os componentes de pré-requisitos foram declarados no arquivo requisito.txt.[root@server:~$] pip install -r requirement.txt
Passo 3: Personalizar sua configuração do aplicativo Flerken como você deseja.Path: flerken/config/global_config.py
Passo 4: Agora você pode executá-lo![root@server:~$] python runApp.py
Etapa 5 (Opcional): você pode criar suas próprias listas de permissões para reduzir a taxa de falsos positivos.Path: flerken/config/whitelists/ - Como usar
É muito fácil de usar, conforme mostrado na figura a seguir, e também liberaremos interfaces de API tão logo.
Obtendo ajuda
Se você tem alguma pergunta ou feedbacks sobre Flerken. Por favor, crie um problema e escolha um rótulo adequado para ele. Vamos resolvê-lo o mais rápido possível.
Incorporar terceiros
Autores
