Malware Analysis Platform: FAME

viernes, 31 de marzo de 2017

Malware Analysis Platform: FAME

in published on 20:51 leave a reply posted by

 

Descripción:

FAME está pensado para facilitar el analisis de archivos maliciosos aprovechando tanto conocimiento como sea posible para acelerar y automatizar el análisis de extremo a extremo.
Mejor escenario: el analista deja caer una muestra, espera unos pocos minutos, y FAME es capaz de determinar la familia de malware y extraer su configuración y IOCs.
FAME debe ser visto como un marco que potenciará sus esfuerzos de desarrollo de análisis de malware.

La aplicación te permite activar o desactivar modulos (Como subir el archivo a una sandbox de cuckoo, subir a sandbox joe, analizar macros de office, analizar pdf, escanear con un antivirus, o subir a virtustotal.) y cada modulo es bastante configurable, esto hace el programa bastante modular y con bastantes funciones.
También podemos obtar por crear nuestro propio modulo, en la documentación te dicen como.
 Puedes mirar, apoyar y probar el proyecto en su Github

Requisitos:

Necesitamos tener MongoDB, para instalarlo en debian (Kali):

$ sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Debian 7:
$ echo "deb http://repo.mongodb.org/apt/debian wheezy/mongodb-org/3.4 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list
Debian 8:
$ echo "deb http://repo.mongodb.org/apt/debian jessie/mongodb-org/3.4 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

$ sudo apt-get update
$ sudo apt-get install -y mongodb
$ service mongodb start

Aqui para Ubuntu 

Instalación:

Descargamos FAME:

$ git clone https://github.com/certsocietegenerale/fame
$ cd fame

Lo instalamos:

$ utils/run.sh utils/install.py

Usamos el 1 en tipo de instlación, y ojo con el email que es el que nos pedirá para entrar al server.

Una vez instalado lo iniciamos con el comando:

$ utils/run.sh webserver.py

Configuración:
La configuración es sencilla, nos vamos al apartado y activamos el modulo repositorios lo que nos permitirá ver módulos ya creados, los cuales podemos activar y desactivar a nuestro gusto. (Aunque la primera vez que entré me saltó un error, le tuve que dar a update y a reload, cerre sesión y volví a entrar)

En configuración veremos todos los modulos disponibles.

Para subir nuestro archivo simplemente le damos a Submit.


Muchas gracias por ver la entrada, comenta que te ha parecido, compartela y hasta la próxima.

Previous Post
Next Post
Unknown

post written by:

0 comentarios: