APT攻击样本静态分析工具 – MASTIFF V0.5

2013-03-06 133020人围观 ,发现 7 个不明物体 工具

APT攻击问题在近几年尤为严重,国外安全研究者Tyler Hudak近日发布了一款针对检测APT攻击中发现的样本进行自动化静态分析的框架,名为MASTIFF,该工具将自动化分析样本,并将得到的信息存储到数据库中。

一般静态分析的工艺如下:

1:获取样本的HASH值
2:分析文件类型
3:逆向文件

如果子这些步骤都是由人工分析的话,样本一多,工作量也随之增加,也许你有自己的自动化脚本可以替代人工去做分析,但是如果没有的话,建议可以尝试试用下MASTIFF这款静态分析框架。

运行方法如下:

sudo mas.py filename

上述命令针对单个样本,MASTIFF V0.5目前的版本不支持同时运行多个样本分析,官方推荐创建一个python文件,分析一个特定目录中的所有文件, 如下:

    #!/usr/bin/python
    import os
    # MASTIFF Autorun
    # @TekDefense
    # www.TekDefense.com
    # Quick script to autorun samples from maltrieve to MASTIFF
    malwarePath = '/opt/malware/'
    for r, d, f in os.walk(malwarePath):
       for files in f:
          malware = malwarePath + files
          print malware
          os.system ('mas.py' + ' ' + malware)

测试281个样本大约在5分钟左右分析完。

更多详细点击(墙)
下载地址
官方收集了一些APT1攻击的样本,地址

Loading...
css.php