The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.07.2017 11:59  Компания Cisco открыла код PyREBox, окружения для изучения вредоносного ПО

Разработчики из компании Cisco представили проект PyREBox, в рамках которого подготовлено окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. PyREBox представляет собой надстройку над QEMU, снабжённую дополнительными средствами для инспектирования содержимого памяти, отладки и динамического анализа работы системы и приложений. Код распространяется под лицензией GPLv2.

В отличие от традиционных отладчиков, работающих в одном системном окружении с проверяемым приложением, PyREBox полностью отделён от изучаемого окружения и позволяет наблюдать за ним со стороны, при необходимости вмешиваясь в его работу. PyREBox создаёт эмулируемое окружение для всей системы, предлагая простой интерфейс для наблюдения за этим окружением, не требуя установки особых драйверов или агентов, а работая непосредственно на уровне эмулятора и предоставляемого им API VMI (Virtual Machine Introspection). В настоящее время возможно создание окружений i386 и x86_64, но в планах намечена поддержка ARM, MIPS, PowerPC и других архитектур.

Интерфейс для управления и отладкой построен на базе интерактивной оболочки IPython. Исследователю предоставляется полный набор команд для инспектирования и модификации состояния работающей виртуальной машины. В том числе можно на лету изменять содержимое областей памяти и регистров CPU. Имеются гибкие средства автоматизации, основанные на подключении сценариев на языке Python. При этом компоненты PyREBox выполнены как надстройка над QEMU, но не пересекаются с QEMU, что даёт возможность быстро адаптировать продукт к новым выпускам QEMU, не утруждая себя ведением собственного форка.

Поддерживается интеграция с пакетом криминалистического анализа Volatility и подключения плагинов от него. Также можно подключать собственные плагины с дополнительными обработчиками или привязывать Python-скрипты к определённым событиям, например, скрипт может быть вызван перед выполнением определённой процессорной инструкции, при обращении приложения к заданной области памяти, создании/завершении процессов, переключении контекста, промахах TLB, событиях от сетевого интерфейса и клавиатуры. Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.

  1. Главная ссылка к новости (http://blog.talosintelligence....)
  2. OpenNews: Выпуск отладчика GDB 8.0
  3. OpenNews: Выпуск системы динамической отладки SystemTap 3.1
  4. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
  5. OpenNews: Выпуск платформы динамической трассировки приложений Frida и отладчика CryptoShark
  6. OpenNews: Проект Mozilla представил rr 1.0.0, отладчик для крупных проектов на С/C++
Лицензия: CC-BY
Тип: Программы
Ключевые слова: pyrebox, debug, qemu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 13:04, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +6 +/
    Зачем им изучать собственное ПО?
     
     
  • 2.2, A.Stahl (ok), 13:10, 24/07/2017 [^] [ответить]    [к модератору]
  • +4 +/
    Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой код :)
     
     
  • 3.3, Andrey Mitrofanov (?), 13:20, 24/07/2017 [^] [ответить]    [к модератору]
  • +5 +/
    #>> Зачем им изучать собственное ПО?
    > Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой
    > код :)

    #>>>окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО.

    Как вы двое углубились в тему. #зависть

     
  • 3.4, Zoolander (?), 16:42, 24/07/2017 [^] [ответить]    [к модератору]
  • +/
    Вброс засчитан )

    Взрослым дядям надо кушать - вот и пишут на JS

     
     
  • 4.9, Led (ok), 21:24, 24/07/2017 [^] [ответить]    [к модератору]
  • +/
    > Взрослым дядям надо кушать

    Поэтому они так много какают?

     
     
  • 5.13, opennotru (?), 01:00, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Потому что водка подешевела.
     
  • 2.7, Аноним (-), 18:02, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Зачем им изучать собственное ПО?

    Вы знаете хоть один нормально работающий программный продукт от циски? Не железку, а именно программный продукт? Вот и они, вероятно, не знают.

     
  • 1.5, Аноним (-), 16:52, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    На самом деле поразительно, как в России любят данную компанию.

     
     
  • 2.6, Аноним (-), 18:00, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Это уже лечится К сожалению чиновников, эта компания с самым дорогим оборудова... весь текст скрыт [показать]
     
     
  • 3.14, Pofigist (?), 07:41, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Да ладно! Оборудование - недорогое, посмотри для сравнения на цены конкурентов, откаты - минимальное, посмотри для сравнения на мюнхенский попил...
     
     
  • 4.15, Аноним (-), 09:09, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Сравним эквивалентное магистральное оборудование с Huawei?
     
     
  • 5.16, Аноним (-), 11:17, 25/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Или Mikrotik :)
     
     
  • 6.19, PnDx (ok), 12:06, 25/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Магистральное.
     
  • 1.8, яя (?), 18:16, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.

    Чувак пишет фильтр, а в ответ нот-фаунд, он что-то поправляет, а в ответ через 15 мин когда своп исчерпан, оом-киллеp убивает qemu, и только 5000 копий скрипта рапортующих о событии в памяти.

    ЗЫ. киллеp это ппц как не нормативно

     
  • 1.10, Crazy Alex (ok), 22:05, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А что за безумие в комментах? Отличная же штука на вид...
     
     
  • 2.11, Andrey Mitrofanov (?), 23:17, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > А что за безумие в комментах? Отличная же штука на вид...

    Реактивное комментирование. Первых двух слов ^W токенов темы -- достаточно.

     
  • 2.12, Аноним84701 (ok), 00:52, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > А что за безумие в комментах? Отличная же штука на вид...

    Cмотря для чего. У малварщиков проверка на виртуалку или песочницу уже лет десять как "стандарт".
    Типа:
    http://webcache.googleusercontent.com/search?q=cache:7qv1dakmyWkJ:https://evidencebasedsecurity.org/forums/data/hackforums/raw/0-initiator146773
    > STL Packer Premium .
    > Most Advanced Crypter/Packer
    >  Anti Parallels
    > Anti QEMU
    > Anti Sandboxie -LRB- not rly a vm , but its used locally , so anti can be enabled/disabled -RRB-
    > Anti Virtual Box
    > Anti Virtual PC -LRB- VPC -RRB-
    > Anti VMware
    > + Generic Anti VM

    (это первый подходящий, "общедоступный" результат, но как я уже упоминал, для "крипторов" (обфускаторов) малвари оно уже давным давно "в моде") благо, гуглится на раз, https://github.com/AlicanAkyol/sems
    > Virtualbox, VirtualMachine, Cuckoo, Anubis, ThreatExpert, Sandboxie, QEMU, Analysis Tools Detection Tools

    да и сам код проверок даже когда-то на шестом вижулабейсике был.
    Так что просто запускать и наблюдать за поведением бинаря даст весьма сомнительный результат.

     
     
  • 3.17, Crazy Alex (ok), 11:26, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Я в курсе, сам когда-то песочницу дрвеба определял, ещё в ДОС... Но безумие комментов это никак на объясняет.

    P.S. Сейчас я от малвари и борьбы с ней далековато, но не вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.

     
     
  • 4.20, Аноним84701 (ok), 14:24, 25/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > P.S. Сейчас я от малвари и борьбы с ней далековато, но не
    > вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и  потом будем гонять в виртуалке" неприменимо.

    Уже лет пять как серьезно не ковырял, но по нескольку обфускаторов"матрешкой" (с интегрированными "анти" плюс еще собственные велосипеды малвари) - не такое уж и редкое явление. Особо одаренные умудрялись поверх неплохих  "обфускаторов" еще и "Drop"-еры (т.е. примитив, распакующий тупо в файл) нацеплять. Поэтому дампить и выкусывать защиту придется несколько раз.
    Но я вообще-то к  тому, что одним таким "non-intrusive"-дебагером все равно не обойтись (тем более, не катят мечты любителей варезов"я запускал в виртуалке и там не было ничего подозрительного!"), хотя сама по себе штука интересная (причем, не только для разбора малвари).

    > Но безумие комментов это никак на объясняет.

    *cмотрит непонимающе* неспокойная магнитосфера http://www.tesis.lebedev.ru/magnetic_storms.html и недавнее новолуние же!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor