Noriben — портативный, простой анализатор вредоноса

Noriben — это скрип на основе Python, который работает совместно с Sysinternals Procmon для автоматического сбора, анализа и отчета о показаниях вредоносных программ.

В двух словах он позволяет запускать вредоносное ПО, нажать клавишу и получить простой тексInformation Security Squadтовый отчет о действиях образца.

Noriben позволяет не только запускать вредоносное ПО, аналогично песочнице, но и регистрировать общесистемные события, в то время как вы вручную запускаете вредоносное ПО.

Например, он может прослушивать при запуске вредоносного ПО, которое требует разных параметров командной строки или взаимодействия с пользователем.

Или, чтобы наблюдать за системой при прохождении вредоносного ПО в отладчике.

Для работы Noriben требуется только Sysinternals procmon.exe (или procmon64.exe).

Он не требует предварительной фильтрации (хотя это очень поможет).

Этот скрипт позволяет автоматизировать выполнение Noriben в гостевой виртуальной машине и получать отчеты.

VM и моментальный снимок, копирование вредоносного ПО на виртуальную машину, запуск Noriben и вредоносного ПО, ожидание периода времени, копирование результатов на хост, в настоящее время выполняется на OSX как ZIP, и захват экрана виртуальной машины.

Вы даже можете использовать —update для автоматической копии новейшего Noriben с вашего хоста, поэтому вам не нужно делать какие-либо новые снэпшоты при изменении скрипта.

Демо:

Использование:

 --===[ Noriben v1.7.2--===[ @bbaskinusage: Noriben.py [-h] [-c CSV] [-p PML] [-f FILTER] [--hash HASH][--hashtype {MD5,SHA1,SHA256}] [--headless] [-t TIMEOUT][--output OUTPUT] [--yara YARA] [--generalize] [--cmd CMD][-d]optional arguments:-h, --help show this help message and exit-c CSV, --csv CSV Re-analyze an existing Noriben CSV file-p PML, --pml PML Re-analyze an existing Noriben PML file-f FILTER, --filter FILTERSpecify alternate Procmon Filter PMC--hash HASH Specify hash whitelist file--hashtype {MD5,SHA1,SHA256}Specify hash type--headless Do not open results on VM after processing-t TIMEOUT, --timeout TIMEOUTNumber of seconds to collect activity--output OUTPUT Folder to store output files--yara YARA Folder containing YARA rules--generalize Generalize file paths to their environment variables.Default: True--cmd CMD Command line to execute (in quotes)-d, --debug Enable debugging 

скачать noriben с github

Отправка комментария

0 Комментарии