APT攻击问题在近几年尤为严重,国外安全研究者Tyler Hudak近日发布了一款针对检测APT攻击中发现的样本进行自动化静态分析的框架,名为MASTIFF,该工具将自动化分析样本,并将得到的信息存储到数据库中。
一般静态分析的工艺如下:
1:获取样本的HASH值
2:分析文件类型
3:逆向文件如果子这些步骤都是由人工分析的话,样本一多,工作量也随之增加,也许你有自己的自动化脚本可以替代人工去做分析,但是如果没有的话,建议可以尝试试用下MASTIFF这款静态分析框架。 运行方法如下:
sudo mas.py filename上述命令针对单个样本,MASTIFF V0.5目前的版本不支持同时运行多个样本分析,官方推荐创建一个python文件,分析一个特定目录中的所有文件, 如下: #!/usr/bin/python测试281个样本大约在5分钟左右分析完。
import os
# MASTIFF Autorun
# @TekDefense
# www.TekDefense.com
# Quick script to autorun samples from maltrieve to MASTIFF
malwarePath = '/opt/malware/'
for r, d, f in os.walk(malwarePath):
for files in f:
malware = malwarePath + files
print malware
os.system ('mas.py' + ' ' + malware)
更多详细点击(墙)
下载地址
官方收集了一些APT1攻击的样本,地址
沒有留言:
張貼留言