Przez ostatni rok współpracowaliśmy z Hatching.io nad rozwojem projektu Cuckoo Sandbox. Skupiliśmy się głównie na wdrożeniu zaawansowanych mechanizmów analizy pamięci, opracowanych przez nasz zespół w ciągu ostatnich lat. Opublikowanie narzędzia onemon jest ostatnim etapem naszej współpracy. Cieszymy się, że jej wyniki są teraz dostępne dla całego środowiska zajmującego się bezpieczeństwem informacji.
Onemon jest następcą zer0m0na, który umożliwia zrzucanie pamięci procesów w sytuacji konkretnych zdarzeń systemowych przy zastosowaniu zdefiniowanych reguł Yara. Takimi zdarzeniami są m.in. stworzenie nowego procesu, wznowienie wątku przez użycie NtResumeThread (wykorzystywane w technice process hollowing) czy zakończenie procesu.
Dodatkowo Cuckoo zostało rozszerzone o techniki wspomagające wyciąganie statycznej konfiguracji próbek złośliwego oprogramowania. Są to takie informacje jak adresy serwerów C&C, klucze używane w komunikacji lub ziarna do algorytmów DGA.
By jeszcze bardziej pomóc w analizie złośliwego oprogramowania, do Cuckoo została wdrożona biblioteka o nazwie Roach. Biblioteka ta jest uniwersalnym zbiorem wielu funkcji przydatnych przy analizie zrzutów pamięci procesów, umożliwiających m.in. dekompresję, deszyfrację, serializację łańcuchów znakowych, parsowanie plików PE itp.
Środowisko sandboksowe jest istotną częścią naszej platformy automatycznej analizy złośliwego oprogramowania. Obecnie przygotowujemy się do wdrożenia w niej nowej wersji Cuckoo. Dostęp do wyników działania nowego sandboksa jest możliwy przez naszą platformę mwdb, która jest przeznaczona dla analityków zajmujących się złośliwym oprogramowaniem. Więcej informacji można znaleźć w naszym wcześniejszym wpisie.
Opisywane prace są częścią naszego projektu SOASP (Strengthening operational aspects of cyber-security capacities in Poland) i były współfinansowane przez instrument Unii Europejskiej „Łącząc Europę”, numer: 2016-PL-IA-0127.